Brasil Mundo Política Saúde Tecnologia

Vazamento no Ministério da Saúde expõe dados de 16 milhões de pessoas que fizeram testes de Covid

FOLHAPRESS – O vazamento de senhas de sistemas eletrônicos do Ministério da Saúde expôs os dados pessoais de 16 milhões de brasileiros que se submeteram a testes da Covid-19, doença causada pelo novo coronavírus. As informações foram divulgadas nesta quinta-feira (26) pelo jornal O Estado de S. Paulo.

De acordo com o jornal, foram divulgados dados pessoais como CPF, endereço, telefone e doenças pré-existentes de pacientes que tiveram diagnóstico suspeito ou confirmado da doença. Os dados pessoais e médicos ficaram expostos na internet durante quase um mês.

As pessoas que tiveram os dados vazados foram examinadas em unidades de saúde tanto da rede pública quanto da privada, pois a notificação de casos suspeitos ou confirmados de Covid-19 é obrigatória a todas as unidades hospitalares.

Entre elas estão os chefes do Executivo e do Legislativo, ministros do governo federal e 17 governadores como o presidente Jair Bolsonaro (sem partido); o ministro da Saúde, Eduardo Pazuello; Onyx Lorenzoni, ministro da Cidadania; Damares Alves, ministra da Mulher, da Família e dos Direitos Humanos; João Doria (PSDB), governador de São Paulo; Rodrigo Maia (DEM-RJ), presidente da Câmara; Davi Alcolumbre (DEM-AP), presidente do Senado.

Além da privacidade, que deveria ser resguardada pelo poder público, o vazamento de dados preocupa especialistas por diversos motivos. Um deles, por exemplo, é a possibilidade das informações serem usadas para fins comerciais por diferentes empresas.

“Não foi ataque hacker”
Segundo o jornal, exposição das informações não foi causada por ataque hacker, mas sim decorrente de uma ação de Wagner Santos, funcionário do Hospital Albert Einstein que tinha acesso liberado aos bancos de dados do Ministério da Saúde — ele trabalhava em projeto de parceria com a pasta e ficava baseado na sede do ministério.

O funcionário publicou em seu perfil pessoal da plataforma GitHub, em 28 de outubro, uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid-19 no Brasil.

Ao jornal, o Hospital Albert Einstein e o Ministério da Saúde disseram que as chaves de acesso foram trocadas nos sistemas e que uma investigação interna será aberta pelo hospital para apurar as responsabilidades.

O hospital afirmou que “um colaborador teria arquivado informações de acesso a determinados sistemas sem a proteção adequada”. O hospital diz ter comunicado o Ministério da Saúde para que “fossem tomadas as medidas para assegurar a proteção das referidas informações”.

De acordo com o Ministério da Saúde, o Hospital Albert Einstein confirmou que houve falha humana, e não do sistema. O órgão disse que está realizando “o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados”.

O funcionário Wagner Santos disse que publicou a planilha de senhas em seu perfil na plataforma GitHub para a realização de teste na implementação de um modelo, porém esqueceu de remover o arquivo da página pública.

Nota do Hospital Albert Einstein (26/11):
“São Paulo, 26 de novembro de 2020 – O Hospital Israelita Albert Einstein tomou conhecimento na tarde desta quarta-feira, 25/11, que um colaborador contratado para prestar serviços ao Ministério da Saúde havia arquivado informações de acesso a determinados sistemas sem a proteção adequada. Estas informações foram removidas imediatamente e o fato comunicado ao Ministério da Saúde para que fossem tomadas medidas que assegurassem a proteção das referidas informações.

O Einstein ressalta que não houve divulgação de quaisquer dados pelo empregado e que o hospital não tem acesso a eles. Eles ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília.

A organização reitera seu compromisso com a segurança das informações e a proteção de dados e informa que já iniciou a apuração do incidente. Além disso, realizou na manhã da quinta-feira, 26/11, o desligamento do colaborador por ter infringido as normas internas adotadas para garantir proteção e segurança de dados.”

Nota do Ministério da Saúde:
O Ministério da Saúde informa que realizou reunião com o Hospital Israelita Albert Einstein – com quem tem parceria via Proadi -, para esclarecimento dos fatos. O profissional contratado atua no MS como cientista de dados e iniciou as atividades em 14/09/2020 e, no âmbito das medidas de segurança do ministério, em atendimento aos protocolos de compliance e confidencialidade, por meio de assinatura do termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica.

O Hospital informou ao Ministério da Saúde que iniciou um processo de apuração dos fatos. A equipe de segurança cibernética do hospital está tomando todas as medidas para conter um possível vazamento de arquivos contendo login e senha para acesso das informações dos sistemas via Elastic Search.

A instituição informou, também, que uma planilha foi equivocadamente publicada em uma plataforma de hospedagem de código-fonte. Este documento foi apagado e está sendo realizado o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados. O hospital confirmou que houve falha humana de um dos seus colaboradores – e não do sistema.

Deixe um comentário

WordPress Ads