Informações pessoais de pelo menos 16 milhões de brasileiros com diagnóstico positivo ou suspeito de Covid-19 foram expostas na Internet por cerca de um mês. O vazamento aconteceu depois que um funcionário do Hospital Albert Einstein, em São Paulo, fez o download de um documento no GitHub que continha nomes de usuários e senhas de acesso a um banco de dados de pessoas que foram testadas, diagnosticadas e em alguns casos hospitalizadas por coronavírus, e que faz parte de um projeto com o Ministério da Saúde (no qual o hospital é integrante) chamado PROADI-SUS, que realiza análises de previsão sobre a pandemia.
Aqueles que tiveram acesso as senhas podiam acessar dois bancos de dados federais, E-SUS-VE e Sivep-Flu, que contêm registros de pessoas suspeitas, diagnosticadas ou hospitalizadas por Covid-19. Além de informações confidenciais e sensíveis das pessoas, como nomes, CPF, endereços, esses bancos de dados continham detalhes do histórico médico das pessoas, como problemas de saúde ou diagnósticos anteriores.
A vazamento foi divulgado pelo jornal “O Estado de S.Paulo”, que teve acesso a esses dados e confirmou em primeira mão que as senhas davam acesso a informações sigilosas, entre as quais estavam dados de pacientes como o presidente, Jair Bolsonaro, além de outros membros do governo que haviam confirmado publicamente seus diagnósticos.
O funcionário do hospital disse ao jornal que fez o download do documento no GitHub para poder realizar um teste de implementação, mas acabou esquecendo de excluir o arquivo do repositório.
Em nota à imprensa divulgada pelo hospital, a instituição afirma ter tomado conhecimento que "um colaborador contratado para prestar serviços ao Ministério da Saúde arquivou informações de acesso a determinados sistemas sem a proteção adequada". Além disso, a nota assegura que a informação foi retirada imediatamente e que o incidente foi comunicado ao Ministério da Saúde para que fossem tomadas as medidas cabíveis a fim de garantir a proteção dos dados.
Enquanto isso, o Ministério da Saúde informou que o Departamento de Informática do SUS (DataSUS) cancelou os acessos aos nomes de usuário e senhas que estavam na planilha publicada no GitHub, informou o portal de notícias G1.
Por sua vez, em nota à imprensa, o Ministério da Saúde garante que, embora as senhas vazadas não permitissem o acesso direto às informações pessoais e que outros fatores técnicos seriam necessários para chegar aos dados, está monitorando a web para evitar que as informações expostas possam ser compartilhadas em algum site.
O que um cibercriminoso pode fazer com as informações vazadas?
Infelizmente, muitas vezes os vazamento de dados ocorrem devido à configuração incorreta ou como consequência de um acesso não autorizado a um sistema. Sem ir mais longe, e para citar apenas um exemplo, este mês publicamos uma notícia sobre a exposição de dados confidenciais de milhões de hóspedes de hotéis em todo o mundo ocasionada por um erro de configuração de um servidor em nuvem. Além da importância de conscientizar sobre a importância de revisar as configurações e auditar a segurança e a privacidade das informações mantidas pelas empresas - e pelos usuários em suas contas - é importante conhecer as consequências após a ocorrência de um vazamento de dados, como ataques de phishing ou outro tipo de ataque de engenharia social que utilize essas informações.
Assim como destacamos, geralmente os cibercrimosos publicam informações confidenciais de usuários em sites na dark web para que os dados estejam disponíveis publicamente ou sejam vendidos para outros atacantes com o intuito de realizar campanhas para roubar mais informações ou mesmo atacar os usuários com algum tipo de malware. O ideal é que as pessoas que possam estar entre as mais de 16 milhões envolvidas nesse incidente fiquem atentas a possíveis e-mails de phishing que se fazem passar por empresas ou organizações e que incluem informações pessoais para fazer com que as vítimas acreditem que a mensagem é legítima.