O sistema e-SUS Notifica, do Ministério da Saúde, que reúne informações de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19, possuía uma falha de segurança identificada em junho pela Open Knowledge Brasil – organização sem fins lucrativos que promove transparência e dados abertos.
Essa foi mais uma vulnerabilidade do sistema: na última quinta-feira (26), foi revelado que senhas de acesso de bancos de dados do e-SUS Notifica foram publicadas em uma plataforma aberta por um funcionário do Hospital Albert Einstein que estava trabalhando em um projeto com o Ministério da Saúde.
A falha de segurança revelada pela Open Knowledge Brasil também envolve senhas de acesso de um servidor com informações do e-SUS Notifica. O problema foi corrigido dias depois de a ONG denunciá-lo ao governo federal.
De acordo com a organização, a vulnerabilidade permitia acessar uma base de dados com informações pessoais de cidadãos – incluindo CPF, endereço, telefone, além de informações confidenciais como doenças pré-existentes.
Em nota enviada ao G1, o Ministério da Saúde confirmou que a falha de segurança existia, mas disse que o sistema “hospedava somente alguns relatórios extraídos pelos estados, portanto, não expondo os dados registrados no banco de dados” (veja a íntegra abaixo).
Essa informação foi contestada pela ONG, que afirmou que as senhas davam acesso às mesmas bases de dados que ficaram expostas após a publicação das credenciais nesta semana, que revelou informações de membros do governo.
Segundo a Open Knowledge Brasil, o site da plataforma e-SUS Notifica continha um arquivo escondido, que podia ser encontrado no código-fonte, com credenciais que davam acesso a banco de dados com informações pessoais de cidadãos.
O e-SUS Notifica foi criado em março deste ano e recebe notificações de casos leves e moderados de Covid-19, suspeitos ou confirmados, de hospitais públicos e privados. São registradas informações de identificação e detalhes como o tipo de teste realizado, sintomas e tratamento, além de condições pré-existentes dos pacientes.
A vulnerabilidade foi encontrada na noite do dia 4 de junho e, no dia 7, foi registrada uma denúncia na ouvidoria do Controladoria-Geral da União alertando sobre o caso, junto com uma ata registrada em cartório que comprovava a falha.
Dez dias depois, o arquivo que continha as informações de usuário e senha para o acesso ao banco de dados foi removido do site.
A diretora da Open Knowledge Brasil, Fernanda Campagnucci, descreveu que “expor as credenciais do banco de dados no próprio código do site é um erro primário de quem desenvolveu, supervisionou e homologou a implementação do sistema” e que isso seria equivalente a “deixar a chave de um cofre na porta do mesmo”.
O Ministério da Saúde afirmou que foram implementadas “melhorias que fazem a codificação da chave” e “ofuscação de código, impossibilitando a visualização via inspeção”.
Dificuldade para fazer a denúncia
A organização disse que tentou protocolar a denúncia na Ouvidoria do SUS (Sistema Único de Saúde), mas um dos campos obrigatórios estava com defeito, e não permitia prosseguir com a solicitação.
Apesar de a correção ter acontecido dez dias após a denúncia à Controladoria-Geral da União, a Open Knowledge relatou ao G1 que o Ministério da Saúde não respondeu às suas solicitações, e que só foi possível constatar a correção pelo monitoramento diário que a organização fez da vulnerabilidade.
Uma semana depois da abertura do protocolo, a Ouvidoria Geral da União considerou a demanda “concluída” e redirecionou de forma automática para a Ouvidoria do SUS.
A ONG também pediu uma auditoria para apurar a extensão do dano, a fim de saber se houve acesso não autorizado e se os dados foram baixados em algum momento, mas não conseguiu acompanhar o protocolo da solicitação.
Em nota, o Ministério da Saúde afirmou que “recebeu a denúncia anônima” e que “não houve qualquer tipo de invasão no sistema percebida pela equipe”.
A reclamação da organização enviada para a Ouvidoria Geral da União, a qual o G1 teve acesso, não foi anônima.
O G1 questionou o Ministério da Saúde sobre essa informação, mas até a última atualização desta reportagem não tinha obtido retorno.
Resposta ao pedido de informação
Em conjunto com a denúncia, a organização solicitou informações sobre os protocolos de segurança de dados pessoais do sistema e-SUS Notifica, que foram respondidas pelo Ministério da Saúde por meio da Lei de Acesso à Informação (LAI).
Questionado pela ONG sobre os critérios e protocolo de segurança de dados pessoais, o ministério afirmou que “o sistema atende a LGPD [Lei Geral de Proteção de Dados]” e que “por questão de segurança” não poderia revelar as medidas.
A Lei Geral de Proteção de Dados, no entanto, indica que instituições que lidam com dados precisam ser transparentes sobre como gerenciam as informações das pessoas, e que é necessário demonstrar o cumprimento de medidas “das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
O Ministério da Saúde também indicou que, em junho, 8.714 pessoas tinham acesso para obter relatórios de casos suspeitos ou confirmados de Covid-19 pelo sistema e-SUS Notifica.
Para a diretora da Open Knowledge Brasil, Fernanda Campagnucci, esse é um número exagerado.
“Não é só falha de segurança, é toda a política de gestão da informação que parece estar equivocada ainda “, disse ao G1. “Ter extração de dados é importante para os gestores, mas precisa ser de todo mundo, com todos aqueles campos?”, completou.
Nota do Ministério da Saúde:
“O Ministério da Saúde informa que recebeu a denúncia anônima nº 3655692, que informava a violação de privacidade da proteção de dados de pessoas registradas no sistema e-Notifica, com suspeita ou confirmação de Covid-19. Contudo, o sistema de registro de notificações e-SUS Notifica hospedava somente alguns relatórios extraídos pelos estados, portanto, não expondo os dados registrados no banco de dados. Com isso, em momento algum, o acesso à base de dados do e-SUS Notifica foi ameaçada.
De qualquer forma, foram implementadas melhorias que fazem a codificação da chave em variáveis de ambiente, além de ofuscação de código – impossibilitando a visualização via inspeção de código. Cabe salientar que não houve qualquer tipo de invasão no sistema percebida pela equipe.
O Ministério da Saúde agradece o empenho da sociedade no apontamento do problema e ressalta que foram tomadas todas as medidas para resolvê-lo.
Por fim, o DataSus está sempre buscando melhorias para garantir a segurança da informação sem prejuízo a identidade e privacidade do cidadão.”
Veja os vídeos mais assistidos do G1
Fonte: G1
