SUS tem dados de pacientes vazados

sus-tem-dados-de-pacientes-vazados
O Sistema Único de Saúde (SUS) foi alvo do maior ataque já conhecido até hoje. Segundo informações do DefCon Lab, o ataque ao sistema vazou cerca de 2,4 milhões de cadastros. O DefCon Lab mantém um sistema de Monitoramento Avançado Persistente. Ele detectou, em 11/04/19, um domínio que disponibilizava o download dos dados pessoais dos pacientes.
Os dados aparentemente se referem ao banco de dados da Atenção Básica – PSF – Saúde da Família – Atenção Primáriacadastro vinculado ao Sistema Único de Saúde (SUS), sendo possível ter acesso ao código no GitHub.

Acesso ao SUS desde o ano passado

leaksus.com.br

A ação foi reivindicada pelo hacker Tr3v0r. Segundo um breve comunicado dele, a ação foi motivada pelo péssimo atendimento fornecido. Ele também cita que o pai precisou de atendimento para um câncer na rede pública mas o serviço não foi satisfatório. No final de fevereiro de 2018, Tr3v0r já havia anunciado que tinha acesso a esses dados.

leaksus.com.br

Só uma parte divulgada

Ainda segundo o hacker Tr3v0r, ele possui acesso a 205 milhões de dados pessoais do SUS. A motivação do ato foi expressa como:

meu pai tem câncer e vocês c*g*r*m pra ele não digo os funcionários mas o sistema então vocês que se f*

O hacker Tr3v0r tem um longo histórico de vazamentos e desfigurações de página, sendo essa mais uma ação ofensiva contra alvo de alto perfil.

Os dados vazados envolvem informações como o nome completo, nome da mãe, endereços, números de CPF e datas de nascimento. Trevor diz que avisou por email, em 29 de março, o Ministério da Saúde sobre a falha de segurança. Porém, segundo ele, nada foi feito. A informação não é confirmada pela pasta. No entanto, o Ministério da Saúde disse que o vazamento era falso.

Após análise preliminar realizada pelo Ministério da Saúde, não há indícios de que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde, disse a nota oficial. 

Polícia Federal acionada

O orgão disse que fez uma denúncia à Polícia Federal para investigação criminal. O vazamento de dados de terceiros é crime previsto na lei. A pena varia de três meses a três anos de prisão. Dependendo do caso, pode ser agravada.

O problema de segurança estaria em uma API. Ela permitiria consultar dados de usuários do SUS a partir do número do cartão do serviço e uma senha. Após a solicitação, a API gera um endereço como “consulta.php?dados=http://xxx.xxx.xxx.xx”.

Ao substituir o trecho final pelos 11 dígitos do CPF, foi possível ter acesso aos dados. O autor do vazamento testou outras combinações válidas do documento e conseguiu ter acesso a uma quantidade significativa de dados.

Acesse a versão completa
Sair da versão mobile