Dados pessoais de 2,4 milhões de pessoas são roubados de servidor do SUS

Por Rafael Rodrigues da Silva | 11 de Abril de 2019 às 20h50
DepositPhotos

Nesta quinta-feira (11), um hacker expôs em um website dados pessoais de 2,4 milhões de usuários do SUS (Sistema Único de Saúde), contendo informações como nome completo, endereço, data de nascimento e número do CPF.

O autor do vazamento entrou em contato com a equipe do UOL não apenas avisando que iria publicar os dados, como revelando que havia entrado em contato com o Ministério da Saúde em 29 de março para avisar sobre a falha de segurança, mas que foi completamente ignorado pelo órgão público.

Após a divulgação dos dados, o Ministério da Saúde divulgou uma nota dizendo que era falsa a informação de que o vazamento ocorreu do banco de dados do SUS, pois não há nenhum indício de que as informações disponibilizadas tiveram origem na base de usuários do Cartão Nacional da Saúde. Mesmo assim, o órgão diz que encaminhou a denúncia para a Polícia Federal, para que fosse iniciada uma investigação criminal sobre o caso.

De acordo com o que foi apurado pela equipe do site, o vazamento ocorreu por uma falha na API de integração do sistema do SUS com outros aplicativos. A origem do problema estava no Cadsus (sistema de cadastramento de usuários do SUS), que tem uma função que permite ao usuário conferir seus dados cadastrais após logar com usuário e senha. O problema é que esse sistema gerava uma URL com o número do CPF do usuário inteiro nela, e a API associava o número do CPF a cada usuário para retornar os dados completos sobre ele. Assim, o invasor utilizou um algoritmo que testou todas as 300 milhões de combinações válidas de CPF, e conseguiu obter os dados pessoais de todos os usuários da base de dados do SUS.

De acordo com especialistas de segurança, esse roubo dos dados poderia ser evitado caso o responsável técnico pelo sistema utilizasse medidas de segurança básicas, como a atualização do sistema do SUS do HTTP para o HTTPS. Além disso, é necessário também que o sistema mude a forma como autentica seus usuários, já que a utilização do CPF facilita a invasão de hackers.

Desde a publicação dos dados dos usuários, o Departamento de Informática do SUS afirmou que reforçou as ações de segurança para proteger os dados da população. De acordo com os analistas que revisaram a informação, apenas 1% dos dados roubados do sistema foram divulgados.

Fonte: UOL

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.