Publicidade

Fiocruz corrige falha cibernética que poderia afetar pesquisas contra a COVID-19

Por| Editado por Luciana Zaramela | 13 de Abril de 2021 às 21h00

Link copiado!

BBTree2012/Envato
BBTree2012/Envato

O Canaltech recebeu, na tarde desta terça-feira (13), um laudo técnico de uma falha gravíssima que existia nos sistemas da Fundação Oswaldo Cruz (Fiocruz), instituição que está trabalhando em vacinas contra a COVID-19 com insumos da Oxford e da AstraZeneca. O documento, enviado por uma fonte anônima conhecida simplesmente como “Hacker do Bem”, revela que a vulnerabilidade poderia ser explorada para conseguir informações confidenciais sobre o imunizante e até atrapalhar a sua produção.

O relatório ao qual o Canaltech teve acesso foi exatamente o mesmo que a Fiocruz recebeu do pesquisador misterioso — segundo ele, o órgão foi veloz em corrigir os problemas, mas não é possível garantir que o bug não tenha sido explorado por atores maliciosos até ser consertado. De qualquer maneira, tudo começa com o fato de que um servidor da fundação estava aberto, podendo ser rastreado na web e levando o criminoso ao sistema interno de gerenciamento de vacinas (criado com base na plataforma MongoDB).

O banco de dados estava protegido com sistemas de segurança e um firewall, mas eles eram insuficientes e qualquer atacante com um nível mediano de conhecimento conseguiria transpô-los usando técnicas chamadas “bypass”. A partir daí, bastaria fazer a festa: ver estatísticas sobre os freezers que armazenam os imunizantes, desligá-los, desconfigurá-los e até mesmo apagar os controles criados para alertar os cientistas caso hajam variações de temperatura no ambiente de armazenagem que possam estragar os insumos.

Continua após a publicidade

Por fim, a base também inclui credenciais de colaboradores — estas estavam criptografadas, mas o hash e a chave secreta (arquivos necessários para decifrar as senhas) estavam armazenadas no mesmo lugar. Até mesmo e-mails, com suas devidas passwords, faziam parte da exposição.

Vidas em risco

Como já citamos anteriormente, a Fiocruz foi ágil em corrigir as vulnerabilidades apontadas pelo pesquisador. Aparentemente, elas não foram exploradas por ninguém, mas é preocupante imaginar o tamanho do estrago que poderia ser causado caso um ator malicioso abusasse das falhas. Afinal, o que não faltam são notícias a respeito da atuação de grupos de hackers estatais (ou seja, patrocinados por governos) tentando atrapalhar ou espionar a produção de vacinas contra a COVID-19 de outros países.

Continua após a publicidade

Com tais brechas, um grupo de ameaça persistente avançada (advanced persistent threat ou APT) seria capaz de obter dados confidenciais a respeito dos imunizantes brasileiros e até mesmo — em uma situação mais grave — estragar um carregamento inteiro de insumos ao desconfigurar os freezers que armazenam a matéria-prima. Isso causaria atrasos nas pesquisas e nos envases das doses que a Fiocruz entrega, impactando diretamente a população brasileira.