Invasor volta a atacar DataSUS e zomba da segurança do site do governo

O DataSUS, setor de informática do Sistema Único de Saúde (SUS), foi alvo de um novo ataque cibernético nesta última quarta-feira (17). Ao que tudo indica, o invasor foi o mesmo indivíduo que realizou uma manobra similar no dia 4 deste mês; na ocasião, ele deixou uma mensagem no sistema FormSUS afirmando que “este site está um lixo” e que “qualquer criança” conseguiria invadi-lo.

• Ministério da Saúde sofre nova invasão e hacker critica segurança do sistema
• Sistemas do Ministério da Saúde são desfigurados por hackers
• Vazamento de senhas do Ministério da Saúde expõe pacientes da COVID, diz jornal

Desta vez, o internauta — que se identifica simplesmente como “HACKER_SINCERO” — foi mais enfático e mandou uma mensagem bem mais grosseira: “O site continua uma b**** nada foi feito, a única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos são de quem fez o formulário e não seu os termos. Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá (sic)”.

Junto à mensagem, o invasor disponibilizou links para imagens supostamente retiradas do sistema do FormSUS, incluindo versões digitalizadas de documentos de identidade e informações pessoais de funcionários públicos do Ministério da Saúde. As ameaças, porém, não param por aí, já que HACKER_SINCERO pede “gentilmente” que o órgão melhore a segurança da página o mais rápido possível.

“Arrumem este site porco ou o na próxima vai vazar os dados dos responsáveis por esta porcaria. ANPD como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro! Hackers sem vergonhas, parem de vender os dados, o custo para arrumar isto vai sair do seu bolso!! (sic)”. Este recado mostra que, apesar de tudo, aparentemente o HACKER_SINCERO não estaria aliado a criminosos que vendem dados roubados do DataSUS.

Mas, afinal, quais são as falhas?

Segundo o invasor, existiriam três vulnerabilidades distintas no sistema: execução remota de código (Remote Code Execution ou RCE), injeção de SQL (SQL Injection ou SQLi) e codificação dentre sites (cross-site scripting ou XSS). Na primeira, o atacante conseguiria programar remotamente dentro do servidor da vítima; na segunda, conseguiria manipular seu banco de dados; e, na terceira, injetar comandos para roubar dados do usuário.

Na primeira vez em que HACKER_SINCERO invadiu o FormSUS, uma fotografia da mensagem revelou que o próprio DataSUS pedia que os operadores do sistema não usassem aspas nos campos, vistos que tal caractere, “em várias linguagens de programação, é utilizado para delimitar uma cadeia de caracteres, o que pode levar o FormSUS a uma interpretação diversa do que se pretende”.

Isso dá a entender que é possível usar os campos do formulário para enviar comandos ao servidor e, com isso, efetuar os ataques de RCE, SQLi e XSS citados pelo atacante na invasão mais recente.

O que o Ministério da Saúde tem a dizer?

O Canaltech entrou em contato com o Ministério da Saúde, questionando, sobretudo, o porquê do órgão não ter corrigido tais vulnerabilidades, já que, aparentemente, eram de conhecimento interno. A assessoria de imprensa não falou exatamente sobre pontos específicos das perguntas, mas emitiu o seguinte comunicado oficial:

O Ministério da Saúde informa que descontinuou o FormSUS em 28 de janeiro, após ter identificado uso inadequado do serviço. A plataforma, no entanto, esteve disponível aos gestores para que pudessem realizar o download dos formulários e já foi retirada do ar permanentemente. Cabe ressaltar que o incidente de segurança registrado no FormSUS não teve impacto no vazamento de dados. Tratou-se de uma técnica conhecida como defacement — que é comparada a uma pichação e consiste na realização de modificações no conteúdo e na estética de uma página da internet.

Vale ressaltar, porém, que a própria foto do ataque mostra que a mensagem está em uma janela pop-up, o que, por si só, pode ser um indício de que não se trata de um simples defacement  — já que tais pichações costumam ser feitas nas homepages dos sites. Tudo indica que o pop-up surgia porque algum código foi injetado no formulário, surgindo depois que o operador realizasse determinada ação.

Fonte: Metrópoles