Dados pessoais de mais de 243 milhões de brasileiros, vivos e falecidos, foram expostos por pelo menos seis meses na internet, embora o acesso às informações não tenha sido registrado. A constatação foi confirmada em uma reportagem do jornal O Estado de S.Paulo, após descobrir que desenvolvedores de um site do Ministério da Saúde deixaram as senhas para acessar um banco de dados dentro do código-fonte.
Um incidente semelhante já havia acontecido em junho deste ano no sistema e-SUS Notifica, um portal do Ministério da Saúde no qual os brasileiros podem se cadastrar para obter informações oficiais sobre a pandemia. A descoberta havia sido reportada pelo pela organização Open Knowledge Brasil (OKBR). Dessa vez alguns repórteres checaram outro site do governo e descobriram a existência de dados de login, como nomes de usuário e senhas, expostos no código-fonte armazenado em codificação base64, um algoritmo que pode ser facilmente decodificado.
Essas informações permitiram o acesso a um servidor de notificação do e-SUS, que armazena informações da população cadastrada no Sistema Único de Saúde, como nomes completos, endereço, telefones, CPF, dados médicos, entre outras.
As credenciais foram retiradas do código-fonte do site e, segundo o ministério informou à Globo, não houve acesso às informações. Além disso, o ministério informou que os incidentes estão sendo investigados.
A descoberta vem dias depois da revelação da exposição de dados de 16 milhões de pacientes com COVID-19 no Brasil por quase um mês, após um funcionário do hospital publicar no GitHub um documento com credenciais de acesso a um banco de dados de pessoas que foram testadas, diagnosticadas e até hospitalizadas pela doença.
Para saber mais sobre segurança da informação, acesse o portal de notícias da ESET: https://www.welivesecurity.com/br/2020/12/04/falha-do-ministerio-da-saude-expoe-dados-de-mais-de-243-milhoes-de-brasileiros/
Postagens
0 comentários :
Postar um comentário