Os sistemas do Ministério da Saúde sofreram um novo ataque na quarta-feira (17), tendo como alvo um serviço oferecido pelo DataSUS. O invasor, que refere a si mesmo como “HACKER_SINCERO”, deixou uma mensagem com links para documentos vazados, críticas à ANPD (Autoridade Nacional de Proteção de Dados) e queixas à equipe de TI.
- Vivo, Claro, Oi, TIM e PSafe terão que explicar vazamento ao Procon-SP
- O que fazer em caso de vazamento de dados pessoais?
“O site continua uma b****, nada foi feito, a única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos é quem fez o formulário e não leu os termos”, diz a mensagem publicada no Twitter pela conta @coleciona_dor.
A invasão ao FormSUS, serviço de criação de formulários do DataSUS, é real: “houve o segundo incidente ontem”, explica o Ministério da Saúde ao Tecnoblog. Antes disso, Thiago Aquino, presidente da Anati (Associação Nacional dos Analistas em Tecnologia da Informação), havia confirmado essa informação ao Metrópoles.
O aviso do hacker traz links para cinco imagens, todas com dados pessoais censurados: um RG registrado em Mato Grosso; uma carteira de motorista, também de MT; uma lista com nomes de funcionários; um print com CPF, telefone e e-mail de dois funcionários; e uma tabela com estatísticas de formulários preenchidos do DataSUS, atualizada até o mês de janeiro de 2021.
“Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá… e olha que o salário é muito bom!”, ironiza o invasor. Ele também diz, em tom de ameaça: “arrumem este site porco ou na próxima vão vazar os dados dos responsáveis por esta porcaria”.
O hacker deixou uma reclamação para a autoridade responsável por aplicar a LGPD (Lei Geral de Proteção de Dados Pessoais): “ANPD, como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro!!!”.
Ele também criticou os “hackers sem vergonha” que estariam vendendo informações do DataSUS: “o custo para arrumar isto vai sair do seu bolso!”.
Hacker menciona possíveis falhas do DataSUS
O aviso menciona três siglas, que seriam três tipos de problemas nos sistemas do DataSUS:
- RCE, ou execução remota de código, é uma vulnerabilidade que permite rodar código malicioso através de uma rede;
- SQLI, ou injeção de SQL, é uma instrução que permite consultar indevidamente um banco de dados para obter informações dos usuários;
- XSS, sigla em inglês para cross-site scripting (script entre sites), envolve injetar um código indevido – geralmente em JavaScript – em uma página da web para que seja executado no navegador do usuário, permitindo roubar dados.
A mensagem também diz que “isto aqui é uma verdadeira CTF”. Esta é a sigla para Capture The Flag, tipo de competição em que hackers disputam entre si para encontrar e explorar (ou consertar) uma falha de segurança.
Ministério da Saúde responde
Questionado pelo Tecnoblog, o Ministério da Saúde respondeu que “descontinuou o FormSUS em 28 de janeiro, após ter identificado uso inadequado do serviço”. Na época, este serviço do DataSUS foi alvo de um hacker que deixou um aviso: “este site está um lixo!”. Ele também disse: “favor levar a sério os assuntos de segurança da informação. Bolsonaro, dá um jeito aí!”
Então como foi possível acontecer esse segundo incidente, se o FormSUS foi descontinuado? O ministério explica que a plataforma “esteve disponível aos gestores para que pudessem realizar o download dos formulários e já foi retirada do ar permanentemente”.
Além disso, o governo garante que “o incidente de segurança registrado no FormSUS não teve impacto no vazamento de dados”. O ataque é descrito como um defacement, ou seja, só teria modificado a interface da página.
Em novembro de 2020, o Ministério da Saúde também sofreu um ataque; o DataSUS desativou acesso a algumas redes de forma preventiva, impedindo o uso do e-mail e de alguns sistemas internos do SUS.
Fonte: https://tecnoblog.net/
0 comentários:
Postar um comentário