Senhas do Ministério da Saúde para sistema de notificação de Covid-19 também ficaram expostas em junho, diz ONG

Senhas do Ministério da Saúde para sistema de notificação de Covid-19 também ficaram expostas em junho, diz ONG
Segundo a Open Knowledge Brasil, o site do e-SUS Notifica tinha brecha que mostrava credenciais para acessar dados de pacientes. Ministério diz que informaƧƵes pessoais nĆ£o foram expostas. Falha foi corrigida. Senhas ficaram expostas em arquivo que poderia ser encontrado no código-fonte do e-SUS Notifica.

TheDigitalWay/Pixabay

O sistema e-SUS Notifica, do Ministério da Saúde, que reúne informaƧƵes de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19, possuía uma falha de seguranƧa identificada em junho pela Open Knowledge Brasil – organizaĆ§Ć£o sem fins lucrativos que promove transparência e dados abertos.

Essa foi mais uma vulnerabilidade do sistema: na última quinta-feira (26), foi revelado que senhas de acesso de bancos de dados do e-SUS Notifica foram publicadas em uma plataforma aberta por um funcionĆ”rio do Hospital Albert Einstein que estava trabalhando em um projeto com o Ministério da Saúde.

A falha de seguranƧa revelada pela Open Knowledge Brasil também envolve senhas de acesso de um servidor com informaƧƵes do e-SUS Notifica. O problema foi corrigido dias depois de a ONG denunciĆ”-lo ao governo federal.

De acordo com a organizaĆ§Ć£o, a vulnerabilidade permitia acessar uma base de dados com informaƧƵes pessoais de cidadĆ£os – incluindo CPF, endereƧo, telefone, além de informaƧƵes confidenciais como doenƧas pré-existentes.

Em nota enviada ao G1, o Ministério da Saúde confirmou que a falha de seguranƧa existia, mas disse que o sistema "hospedava somente alguns relatórios extraídos pelos estados, portanto, nĆ£o expondo os dados registrados no banco de dados" (veja a íntegra abaixo).

Essa informaĆ§Ć£o foi contestada pela ONG, que afirmou que as senhas davam acesso às mesmas bases de dados que ficaram expostas após a publicaĆ§Ć£o das credenciais nesta semana, que revelou informaƧƵes de membros do governo.

A falha de seguranƧa

Segundo a Open Knowledge Brasil, o site da plataforma e-SUS Notifica continha um arquivo escondido, que podia ser encontrado no código-fonte, com credenciais que davam acesso a banco de dados com informaƧƵes pessoais de cidadĆ£os.

O e-SUS Notifica foi criado em marƧo deste ano e recebe notificaƧƵes de casos leves e moderados de Covid-19, suspeitos ou confirmados, de hospitais públicos e privados. SĆ£o registradas informaƧƵes de identificaĆ§Ć£o e detalhes como o tipo de teste realizado, sintomas e tratamento, além de condiƧƵes pré-existentes dos pacientes.

A vulnerabilidade foi encontrada na noite do dia 4 de junho e, no dia 7, foi registrada uma denúncia na ouvidoria do Controladoria-Geral da UniĆ£o alertando sobre o caso, junto com uma ata registrada em cartório que comprovava a falha.

Dez dias depois, o arquivo que continha as informaƧƵes de usuƔrio e senha para o acesso ao banco de dados foi removido do site.

A diretora da Open Knowledge Brasil, Fernanda Campagnucci, descreveu que "expor as credenciais do banco de dados no próprio código do site é um erro primĆ”rio de quem desenvolveu, supervisionou e homologou a implementaĆ§Ć£o do sistema" e que isso seria equivalente a "deixar a chave de um cofre na porta do mesmo".

O Ministério da Saúde afirmou que foram implementadas "melhorias que fazem a codificaĆ§Ć£o da chave" e "ofuscaĆ§Ć£o de código, impossibilitando a visualizaĆ§Ć£o via inspeĆ§Ć£o".

Dificuldade para fazer a denúncia

A organizaĆ§Ć£o disse que tentou protocolar a denúncia na Ouvidoria do SUS (Sistema Único de Saúde), mas um dos campos obrigatórios estava com defeito, e nĆ£o permitia prosseguir com a solicitaĆ§Ć£o.

Apesar de a correĆ§Ć£o ter acontecido dez dias após a denúncia à Controladoria-Geral da UniĆ£o, a Open Knowledge relatou ao G1 que o Ministério da Saúde nĆ£o respondeu às suas solicitaƧƵes, e que só foi possível constatar a correĆ§Ć£o pelo monitoramento diĆ”rio que a organizaĆ§Ć£o fez da vulnerabilidade.

Uma semana depois da abertura do protocolo, a Ouvidoria Geral da UniĆ£o considerou a demanda "concluída" e redirecionou de forma automĆ”tica para a Ouvidoria do SUS.

A ONG também pediu uma auditoria para apurar a extensĆ£o do dano, a fim de saber se houve acesso nĆ£o autorizado e se os dados foram baixados em algum momento, mas nĆ£o conseguiu acompanhar o protocolo da solicitaĆ§Ć£o.

Em nota, o Ministério da Saúde afirmou que "recebeu a denúncia anônima" e que "nĆ£o houve qualquer tipo de invasĆ£o no sistema percebida pela equipe".

A reclamaĆ§Ć£o da organizaĆ§Ć£o enviada para a Ouvidoria Geral da UniĆ£o, a qual o G1 teve acesso, nĆ£o foi anônima.

O G1 questionou o Ministério da Saúde sobre essa informaĆ§Ć£o, mas até a última atualizaĆ§Ć£o desta reportagem nĆ£o tinha obtido retorno.

Resposta ao pedido de informaĆ§Ć£o

Em conjunto com a denúncia, a organizaĆ§Ć£o solicitou informaƧƵes sobre os protocolos de seguranƧa de dados pessoais do sistema e-SUS Notifica, que foram respondidas pelo Ministério da Saúde por meio da Lei de Acesso à InformaĆ§Ć£o (LAI).

Questionado pela ONG sobre os critérios e protocolo de seguranƧa de dados pessoais, o ministério afirmou que "o sistema atende a LGPD [Lei Geral de ProteĆ§Ć£o de Dados]" e que "por questĆ£o de seguranƧa" nĆ£o poderia revelar as medidas.

A Lei Geral de ProteĆ§Ć£o de Dados, no entanto, indica que instituiƧƵes que lidam com dados precisam ser transparentes sobre como gerenciam as informaƧƵes das pessoas, e que é necessĆ”rio demonstrar o cumprimento de medidas "das normas de proteĆ§Ć£o de dados pessoais e, inclusive, da eficĆ”cia dessas medidas".

O Ministério da Saúde também indicou que, em junho, 8.714 pessoas tinham acesso para obter relatórios de casos suspeitos ou confirmados de Covid-19 pelo sistema e-SUS Notifica.

Para a diretora da Open Knowledge Brasil, Fernanda Campagnucci, esse é um número exagerado.

"NĆ£o é só falha de seguranƧa, é toda a política de gestĆ£o da informaĆ§Ć£o que parece estar equivocada ainda ", disse ao G1. "Ter extraĆ§Ć£o de dados é importante para os gestores, mas precisa ser de todo mundo, com todos aqueles campos?", completou.

Nota do Ministério da Saúde:

"O Ministério da Saúde informa que recebeu a denúncia anônima nĀŗ 3655692, que informava a violaĆ§Ć£o de privacidade da proteĆ§Ć£o de dados de pessoas registradas no sistema e-Notifica, com suspeita ou confirmaĆ§Ć£o de Covid-19. Contudo, o sistema de registro de notificaƧƵes e-SUS Notifica hospedava somente alguns relatórios extraídos pelos estados, portanto, nĆ£o expondo os dados registrados no banco de dados. Com isso, em momento algum, o acesso à base de dados do e-SUS Notifica foi ameaƧada.

De qualquer forma, foram implementadas melhorias que fazem a codificaĆ§Ć£o da chave em variĆ”veis de ambiente, além de ofuscaĆ§Ć£o de código - impossibilitando a visualizaĆ§Ć£o via inspeĆ§Ć£o de código. Cabe salientar que nĆ£o houve qualquer tipo de invasĆ£o no sistema percebida pela equipe.

O Ministério da Saúde agradece o empenho da sociedade no apontamento do problema e ressalta que foram tomadas todas as medidas para resolvê-lo.

Por fim, o DataSus estĆ” sempre buscando melhorias para garantir a seguranƧa da informaĆ§Ć£o sem prejuízo a identidade e privacidade do cidadĆ£o."

Veja os vídeos mais assistidos do G1