Vazamento expôs 2,4 milhões de usuários; hacker diz que dados vieram do SUS, mas Ministério da Saúde nega. Especialistas afirmam que não é Fake News
Por Felipe Ventura
Um vazamento que expôs 2,4 milhões de usuários, divulgado nesta quinta-feira (11), criou uma polêmica: o hacker diz que os dados vieram do SUS (Sistema Único de Saúde); o Ministério da Saúde nega. No entanto, indícios levantados pelo Tecnoblog apontam que as informações vieram do governo: meu cadastro foi vazado e inclui um endereço físico que eu só poderia ter usado no SUS. Além disso, o sistema que teria servido como fonte ficou exposto desde pelo menos 2014, e agora está “em manutenção”.
O hacker chamado Tr3v0r conversou com o Tecnoblog e explicou alguns detalhes adicionais. Ele diz que obteve dados de 205 milhões de pessoas, sem registros duplicados. 1% disso foi publicado em um site que está atualmente fora do ar, e que deve migrar para um domínio.onion na dark web. “Mais para a frente eu irei vazar o restante”, conta ele.
Em fevereiro, Tr3v0r tuitou que iria divulgar 2.396.514 registros únicos coletados do SUS. Os dados incluem CPF, nome completo, nome da mãe, data de nascimento, localidade, número (do imóvel), complemento, bairro, CEP, cidade e estado.
Pedi para Tr3v0r encontrar meus dados a partir do nome completo. O CPF está correto, assim como a data de nascimento e o nome da minha mãe — isso não prova muita coisa, já que essas informações já devem ter vazado antes.
A parte mais importante é o meu endereço cadastrado, que provavelmente só consta nos sistemas do SUS. Ele pertence a uma família que eu conhecia em São Gonçalo (RJ) e nunca foi usado para correspondências nem contratos. Eu me mudei em 2011 para Niterói, cidade vizinha, e passei alguns meses sem plano de saúde válido no estado.
Domínio do Ministério da Saúde expôs dados desde 2014
Os dados foram obtidos através de uma API em um domínio do Ministério da Saúde, segundo Tr3v0r. Era possível usar um endereço com CPF no final, seguindo o padrão “consulta.php?cpf=xxx.xxx.xxx.xx”. Então, ao longo de “alguns meses”, ele rodou um script com gerador de CPF para coletar as informações correspondentes a cada número.
Tr3v0r publicou esse script no GitHub em 2015. Inclusive, existem dois relatos no Twitter — um de 2014, outro de 2016 — avisando que essa API estava aberta ao público, expondo dados como “data de nascimento e nome da mãe de cidadãos pelo CPF”.
Vale lembrar que o e-SUS foi desenvolvido pelo Serpro (Serviço Federal de Processamento de Dados), de acordo com seu site oficial, mas a manutenção é responsabilidade do DATASUS (Departamento de Informática do SUS).
Tr3v0r diz que avisou o Ministério da Saúde por e-mail, em 29 de março, sobre a brecha — mas ela não foi corrigida. Esse domínio do Ministério da Saúde, que teria servido de fonte, estava disponível ainda hoje: ele permitia escolher entre Controle eSUS, Telessaúde, Vitamina A e outros Sistemas de Informação da Atenção Básica.
Depois que o vazamento foi divulgado, esse domínio saiu do ar. Ao acessá-lo, você se depara com a mensagem: “informamos que o sistema se encontra em manutenção”.
Tr3v0r diz que ainda existem mais duas APIs no domínio saude.gov.br que expõem dados do SUS e não foram descobertas até o momento. Além disso, ele alega haver outras duas APIs abertas no site do antigo Ministério do Trabalho e Emprego, pasta que foi extinta em janeiro. (Suas funções foram repassadas à Secretaria Especial de Previdência e Trabalho, subordinada ao Ministério da Economia.)
Ministério da Saúde diz que vazamento é “fake news”
Em comunicado, o Ministério da Saúde diz que “é falso o suposto vazamento de informações da base de dados de usuários do SUS (CADSUS)”. De acordo com uma análise preliminar, “não há indícios que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde – CNS”.
Além disso, o ministério diz que o DATASUS “reforçou as ações de segurança para assegurar a proteção dos dados dos usuários”, a fim de evitar ações fraudulentas como “vazamento indevido de informações”.
Da Redação com informações da Tecnoblog
A respeito da matéria “Ministério da Saúde expôs dados pessoais do SUS desde pelo menos 2014”, publicada nesta quinta-feira, dia 11 de abril de 2019, no Portal Tecnoblog, o Serpro esclarece que não é responsável pelo desenvolvimento do e-SUS.
Com relação ao vazamento de dados, o Ministério da Saúde já se pronunciou a respeito e publicou nota à imprensa no link: http://portalms.saude.gov.br/noticias/45352-o-ministerio-da-saude-informa-que-e-falso-o-suposto-vazamento-de-informacoes-da-base-de-dados-de-usuarios-do-sus-cadsus.