Dados pessoais de mais de 243 milhões de brasileiros, tanto de pessoas vivas como falecidas, foram expostos por pelo menos seis meses na Internet, embora não haja registro de qualquer tipo de acesso a esses dados. A confirmação foi feita pelo jornal "O Estado de S. Paulo", após descobrir que desenvolvedores de um site do Ministério da Saúde deixaram as senhas de acesso a um banco de dados dentro do código-fonte da página.
Tendo em conta a falha de segurança anteriormente descoberta, em junho deste ano, pela organização sem fins lucrativos Open Knowledge Brasil (OKBR) no sistema e-SUS Notifica, um portal do Ministério da Saúde no qual é possível se cadastrar para obter informações oficiais sobre a pandemia, repórteres do jornal O Estado de S. Paulo checaram outro site do governo e descobriram um caso semelhante. Desta vez, a existência de dados de login, como nomes de usuário e senhas, no código-fonte da página que estavam sendo armazenados de forma criptografada com base64, um algoritmo de criptografia que pode ser facilmente decodificado.
Essas informações permitiam o acesso a um servidor do e-SUS Notifica, que armazena dados sobre a população cadastrada no SUS (Sistema Único de Saúde), como nomes completos, endereço, telefones, CPFs, dados médicos, entre outros.
Os dados de login foram excluídos do código-fonte do site e, segundo o Ministério da Saúde, não houve qualquer tipo de acesso às informações, destaca o portal G1. Além disso, o Ministério informou que os incidentes reportados estão sendo investigados.
A descoberta surgiu dias depois que O Estado de S. Paulo revelou a exposição de dados de 16 milhões de pacientes de Covid-19 no Brasil por quase um mês, depois que um funcionário do Hospital Albert Einstein publicou no GitHub um documento com credenciais de acesso a um banco de dados de pessoas que foram testadas, diagnosticadas e até hospitalizadas pela doença.
