Um vazamento de senhas de sistemas do Ministério da Saúde expôs os dados de cerca de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19. A exposição das informações ocorreu durante quase um mês, de acordo com o jornal O Estado de S. Paulo.
A violação aconteceu após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas por Covid-19 em todo o Brasil.
As senhas permitiam acesso a dados como CPF, endereço, telefone e doenças pré-existentes de pelo menos 16 milhões de pessoas em todo o país, segundo o jornal.
As senhas estavam em uma planilha, de acordo com o "O Estado de S. Paulo", que foi publicada por um funcionário do Hospital Albert Einstein, em São Paulo, em um site de compartilhamento de códigos de programação e arquivos chamado "GitHub". Segundo o jornal, o Einstein disse que tinha acesso aos dados porque está trabalhando em um projeto com o Ministério da Saúde.
O GitHub é como se fosse uma rede social usada por programadores e cientistas de dados para compartilhar códigos de programação e contribuir com projetos da área. O serviço também é utilizado pelos profissionais para guardar seus trabalhos, de forma privada, restrita para alguns colaboradores ou de forma pública.
Procurado pelo "O Estado de S. Paulo", o funcionário do Einstein confirmou que publicou a planilha com as senhas em seu perfil no GitHub. O intuito, segundo ele, era a realização de um teste na implementação de um modelo, porém esqueceu de remover o arquivo da página pública.
O Hospital Albert Einstein e o Ministério da Saúde divulgaram as seguintes notas:
Nota do Hospital Albert Einstein
"São Paulo, 26 de novembro de 2020 – O Hospital Israelita Albert Einstein tomou conhecimento na tarde desta quarta-feira, 25/11, que um colaborador contratado para prestar serviços ao Ministério da Saúde havia arquivado informações de acesso a determinados sistemas sem a proteção adequada.
Estas informações foram removidas imediatamente e o fato comunicado ao Ministério da Saúde para que fossem tomadas medidas que assegurassem a proteção das referidas informações.
O Einstein ressalta que não houve divulgação de quaisquer dados pelo empregado e que o hospital não tem acesso a eles. Eles ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília.
A organização reitera seu compromisso com a segurança das informações e a proteção de dados e informa que já iniciou a apuração do incidente. Além disso, realizou na manhã da quinta-feira, 26/11, o desligamento do colaborador por ter infringido as normas internas adotadas para garantir proteção e segurança de dados."
Nota do Ministério da Saúde:
"O Ministério da Saúde informa que realizou reunião com o Hospital Israelita Albert Einstein – com quem tem parceria via Proadi -, para esclarecimento dos fatos. O profissional contratado atua no MS como cientista de dados e iniciou as atividades em 14/09/2020 e, no âmbito das medidas de segurança do ministério, em atendimento aos protocolos de compliance e confidencialidade, por meio de assinatura do termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica.
O Hospital informou ao Ministério da Saúde que iniciou um processo de apuração dos fatos. A equipe de segurança cibernética do hospital está tomando todas as medidas para conter um possível vazamento de arquivos contendo login e senha para acesso das informações dos sistemas via Elastic Search. A instituição informou, também, que uma planilha foi equivocadamente publicada em uma plataforma de hospedagem de código-fonte. Este documento foi apagado e está sendo realizado o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados. O hospital confirmou que houve falha humana de um dos seus colaboradores - e não do sistema.
O Departamento de Informática do SUS (DataSUS) revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha. É importante ressaltar que os dados não são de fácil acesso, uma vez que apenas login e senha não são suficientes para se chegar às informações contidas nos bancos de dados - e sim um conjunto de fatores técnicos,. O Ministério da Saúde ressalta que todos os técnicos que têm acesso aos seus sistemas de informação assinam termo de responsabilidade para uso das informações e todos estão cientes de que a divulgação de informações pessoais está sujeita a sanções penais e administrativas."
