Celebridades têm dados de vacinação fraudados em sistema do SUS

O biólogo e pesquisador Atila Iamarino relatou, na última terça-feira (9), ter sido vítima de uma desfiguração de seus dados no ConecteSUS, sistema responsável pela emissão de registros e certificados de vacinação no Brasil. Em uma publicação feita no Twitter, ele afirma que seu nome e o de sua mãe, e também a nacionalidade, foram alterados no documento oficial que comprova o seu status de imunização.

• Bandidos usam cartões de vacinação de covid para aplicar golpes
• Campanha de espionagem por “mercenários digitais” fez vítimas até no Brasil
• Biometria da base de dados da PF será usada para checagens em sites do governo

Trata-se de mais uma ocorrência em uma série de casos que vêm atingindo celebridades, políticos e também cidadãos comuns desde, pelo menos, junho deste ano. A apresentadora Nyvi Estephan e o criador de conteúdo Felipe Castanhari também foram vítimas, com palavras de baixo calão sendo adicionadas aos respectivos cartões nacionais de saúde; na ocasião, o YouTuber Felipe Neto também relatou ter sido atingido, com seu cadastro no SUS sendo alterado como se ele tivesse falecido.

Casos semelhantes também aconteceram com Guilherme Boulos, Gleisi Hoffman e Manuela D’Ávila; em julho, todos relataram que seus cadastros no SUS foram alterados como se estivessem mortos. O próprio Iamarino também disse que seu registro foi alterado para óbito, mas que o sistema fez a correção quando ele se vacinou. No fio aberto por ele no Twitter, também estão relatos de cidadãos comuns sobre remédios retirados erroneamente e até exames de covid de terceiros sendo registrados em seus nomes.

O problema toma contornos ainda mais graves nesse período de reabertura. Com a exigência de vacinação para acessar eventos públicos, por exemplo, comprovantes com informações indevidamente alteradas podem resultar na proibição da entrada, mesmo que a mudança tenha sido feita por terceiros. No caso de registros relacionados a óbitos, os problemas se acumulam, podendo levar ao cancelamento de cadastros, contratos e documentos, por exemplo.

Em resposta enviada ao Canaltech, o Ministério da Saúde disse ter identificado as alterações indevidas nos certificados apontados pela reportagem, afirmando que a mudança foi feita por um “operador credenciado”, que já foi bloqueado. Segundo o comunicado, os casos não estão relacionados a servidores da própria pasta, que trabalha nas correções e também no impedimento do acesso dos responsáveis. Confira a íntegra:

O Ministério da Saúde informa que identificou as alterações indevidas no cadastro do certificado de vacinação contra a Covid-19 emitido pelo aplicativo ConecteSUS. A pasta esclarece que a modificação não foi feita por servidor do ministério, mas por um operador credenciado, o qual já teve o seu acesso ao sistema bloqueado. A orientação para as pessoas que tiverem problemas com as informações inseridas no ConecteSUS é procurar a ouvidoria, por meio do número 136. O ministério reforça que está atuando para restaurar os cadastros e bloquear os operadores responsáveis pelas alterações indevidas.

Más práticas

Na visão de Ricardo Tavares, diretor da consultoria em ameaças Gemina e professor de cibersegurança, problemas assim são resultados de práticas inadequadas de desenvolvimento e acompanhamento. Segundo ele, a adoção de medidas como criptografia em banco de dados, firewalls de aplicação e monitoramento de alterações ajudariam a identificar alterações não autorizadas ou, em casos piores, até mesmo a extração em massa das informações dos cidadãos.

“Vulnerabilidades de aplicação podem ser exploradas por terceiros quando não existe um desenvolvimento que se preocupa com segurança ou adota práticas para validar e corrigir falhas do ambiente”, continua o especialista. De acordo com ele, processos de verificação e análise desse tipo ajudariam a mitigar explorações dessa categoria, tornando os indivíduos e também o próprio sistema mais seguros.

Por outro lado, o que se viu foi uma exposição de dados, ainda que limitada, que mostra falhas na proteção das informações e atenta diretamente contra os direitos dos cidadãos. Mesmo se tratando do próprio governo, aponta Tavares, valem as sanções previstas pela LGPD (Lei Geral de Proteção de Dados). “[A lei] pode ser aplicada para todas as instituições públicas, com o titular tendo os mesmos direitos que nas instituições privadas, podendo solicitar as devidas indenizações em caso de danos materiais ou morais sofridos”, completa.

Aos cidadãos que identificarem problemas ou alterações indevidas em seus cadastros no ConecteSUS, o Ministério da Saúde recomenda procurar a ouvidoria pelo número 136.