Topo

ONG alertou em junho que dados eram vulneráveis

Fabiana Cambricoli

São Paulo

27/11/2020 13h06

A exposição de dados de 16 milhões de pessoas com diagnóstico suspeito ou confirmado de covid, revelado na quinta-feira pelo jornal O Estado de S. Paulo, não foi o único episódio em que informações pessoais e médicas de pacientes ficaram abertas nas redes. Em junho, a organização não-governamental Open Knowledge Brasil (OKBR) identificou uma vulnerabilidade no acesso ao sistema de notificação de casos de covid-19 do Ministério da Saúde que também tornava possível o acesso aos dados de pacientes submetidos a testes da doença.

A falha foi comunicada ao ministério pela OKBR por meio da ouvidoria do governo federal no dia 7 de junho. Na denúncia, à qual o jornal O Estado de S. Paulo teve acesso, a entidade relata que o problema estava na exposição indevida de login e senha para acesso a uma pasta compartilhada onde estavam relatórios com dados do sistema e-SUS Notifica, que recebe notificações de casos leves e moderados de covid, suspeitos ou confirmados, de hospitais públicos e privados. Nos registros de pacientes, constam dados pessoais como CPF, nome completo, endereço, telefone e informações clínicas, como doenças preexistentes.

As senhas para acesso dessa pasta estavam em um trecho do código de programação do site que fica aberto para consulta de qualquer usuário. Ao acessar a página de login do sistema e-SUS Notifica, essa consulta do código (e consequentemente da senha) podia ser feita de forma simples por meio da função 'inspecionar elemento', disponível em qualquer navegador. Uma pessoa com conhecimentos básicos de desenvolvimento de sites conseguiria acessar os arquivos guardados na pasta.

A exposição indevida de login e senha no código do site foi registrada em cartório pela OKBR. O documento foi anexado à denúncia feita à ouvidoria.

Mesmo assim, os dados só foram retirados do ar dez dias depois. A OKBR acredita que eles podem ter ficado expostos durante três meses, desde o lançamento do sistema de notificação, em março. "Não estamos falando de um vazamento, estamos falando que a política de gestão da informação é falha. É como se você guardasse a chave ao lado do cofre", diz Fernanda Campagnucci, diretora-executiva da OKBR.

No caso da exposição de dados de 16 milhões de pacientes de covid, a falha foi de um funcionário do Hospital Albert Einstein que trabalhava em parceria com o ministério e divulgou uma planilha com logins e senhas de sistemas federais. Mas para Fernanda, com essa outra falha identificada pela ONG, fica claro que o problemas da falta de segurança digital é estrutural no Ministério da Saúde. "São duas falhas justamente no sistema que está com o maior foco de atenção no momento por causa da pandemia. Se um sistema tão importante foi deixado com a chave ao lado do cofre, isso sinaliza de maneira muito evidente que existe uma falta de governança sobre os sistemas e sobre os dados."

Na denúncia feita à ouvidoria, a ONG pediu a retirada imediata das informações sigilosas do ar e a realização de uma auditoria para averiguar a vulnerabilidade dos sistemas e a extensão dos danos, além de uma apuração sobre as responsabilidades de agentes públicos ou terceirizados no ocorrido. A entidade disse que nunca foi informada pelo ministério sobre as providências tomadas.

Questionado pela reportagem, o órgão federal confirmou que recebeu a denúncia de violação de privacidade, mas alegou que o sistema "hospedava somente alguns relatórios extraídos pelos Estados, portanto, não expondo os dados registrados no banco de dados". Com isso, diz a pasta, o acesso à base de dados do e-SUS Notifica não foi ameaçada.

A representante da OKBR, autora da denúncia, rebate o argumento do ministério e afirma que confirmou que havia, sim, dados pessoais de pacientes expostos na página.

O ministério disse que, "de qualquer forma, foram implementadas melhorias que fazem a codificação da chave em variáveis de ambiente, além de ofuscação de código - impossibilitando a visualização via inspeção de código".

Em coletiva de imprensa realizada na quinta-feira, o ministro da Saúde, Eduardo Pazuello, não respondeu as perguntas encaminhadas pelos jornalistas referentes ao vazamento dos dados de 16 milhões de pessoas e aos 7 milhões de testes de covid encalhados que vencem entre dezembro e janeiro. Os dois casos foram revelados pelo Estadão. As informações são do jornal O Estado de S. Paulo.