O novo vazamento de dados na Saúde. E suas consequências

Por falha de segurança do ministério, informações de mais de 200 milhões de brasileiros ficaram expostas por meses. Para a diretora-executiva da Open Knowledge Brasil, Fernanda Campagnucci, problema é estrutural

Este conteúdo é exclusivo para assinantes. Ele está com acesso livre temporariamente como uma cortesia para você experimentar o jornal digital mais premiado do Brasil. Conheça nossos planos de assinatura. Assine o Nexo.

Dados pessoais de mais de 200 milhões de brasileiros que fazem uso do SUS (Sistema Único de Saúde) ou são clientes de planos de saúde ficaram expostos na internet por seis meses devido a uma falha de segurança no sistema do Ministério da Saúde. A informação foi publicada pelo jornal O Estado de S. Paulo na quarta-feira (2).

É o segundo caso de vazamento de dados pessoais que deveriam ser mantidos sob sigilo pelo governo federal em menos de um mês. No final de novembro, o mesmo jornal revelou a exposição de informações de 16 milhões de pessoas que tiveram diagnóstico suspeito ou confirmado de covid-19. Naquela ocasião, a violação de privacidade atingiu o presidente Jair Bolsonaro, o governador de São Paulo, João Doria, e os presidentes da Câmara, Rodrigo Maia, e do Senado, Davi Alcolumbre.

Desde setembro de 2020, vigora no país a Lei Geral de Proteção de Dados, que lista princípios a serem seguidos por órgãos públicos e privados. Eles precisam deixar claro aos usuários como é feita a coleta, o tratamento, o armazenamento e o uso dos dados pessoais.

Segundo especialistas, os vazamentos têm demonstrado a dificuldade do governo em prevenir danos no tratamento dos dados, como previsto na lei. Os episódios também revelam vulnerabilidades diante de informações extremamente sensíveis e fragilidades em garantir a segurança das empresas contratadas para lidar com os dados. A violação do sigilo pode expor usuários a fraudes e ao assédio de companhias que tentam vender serviços.

Além dos erros, sistemas do governo e da Justiça foram alvo de ataques hackers em novembro. No início do mês, o Superior Tribunal de Justiça sofreu um ataque que forçou a suspensão de todos os julgamentos até que a segurança da rede fosse restabelecida. O Ministério da Saúde também se disse alvo de hackers, o que impediu que alguns estados atualizassem os dados sobre a pandemia. Já no final do mês, um suspeito de ter divulgado dados do TSE (Tribunal Superior Eleitoral) foi preso em Portugal.

Os vazamentos na Saúde

Acesso a repositório de dados

Em junho, a ONG Open Knowledge Brasil identificou a exposição indevida de login e senha — que davam acesso a um repositório de dados de pacientes — no meio do código do site do e-SUS Notifica, o sistema do Ministério da Saúde de notificações de casos de covid-19. As chaves de acesso podiam ser vistas por qualquer pessoa que usasse, no navegador na internet, a função “inspecionar elemento”. A organização registrou o achado em cartório, para servir de prova judicial, e alertou a Ouvidoria Geral da União sobre o caso. A ONG diz não ter tido resposta por meio dos canais formais de denúncia.

Exames de covid-19

Em 26 de novembro, o jornal O Estado de S. Paulo mostrou que os dados pessoais e médicos de 16 milhões de brasileiros que fizeram exames para a covid-19 ficaram expostos na internet durante um mês. O vazamento ocorreu após um cientista de dados do Hospital Albert Einstein, em São Paulo, divulgar em um fórum uma lista de usuários e senhas que permitiam acessar dados de pessoas testadas. O hospital tinha acesso às informações por trabalhar em um projeto com o ministério. Após a denúncia, a pasta disse que as chaves de acesso foram trocadas, e o hospital abriu investigação para apurar o caso.

Dados gerais do SUS

Na quarta-feira (2), o jornal publicou nova reportagem sobre a exposição de números de CPF, nome completo, endereço e telefone de 243 milhões de pessoas. O número é maior do que o de habitantes do país (210 milhões) por incluir pacientes que já morreram. Mais uma vez, o problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais do Ministério da Saúde. Ele foi desenvolvido por uma empresa de tecnologia contratada, mas, por lei, a responsabilidade sobre os dados é do governo. A pasta disse que já resolveu a falha e que investiga o caso. Também afirmou possuir “protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições”.

Uma análise sobre os vazamentos

Para discutir as implicações do vazamentos de dados do Ministério da Saúde, o Nexo conversou com Fernanda Campagnucci, diretora-executiva da Open Knowledge Brasil.

Qual foi a falha que vocês identificaram em junho e o que ela tem de diferente dos erros que apareceram depois?

FERNANDA CAMPAGNUCCI É uma sequência de erros que estão conectados porque existe uma falha estrutural, uma negligência estrutural em relação à segurança dos dados. A primeira falha que a gente observou em junho foi na página web do sistema de notificações da covid-19. Quando você inspecionava o código pelo navegador, tinha acesso a um repositório no servidor da Amazon onde estavam todos os relatórios de exportação que eram gerados. O sistema permite que usuários autorizados exportem relatórios no formato CSV [em planilhas], e eles ficam num repositório da Amazon. Por meio dessas credenciais expostas de maneira nítida, você conseguia acessar todos os relatórios em CSV de dados pessoais do sistema. Não precisava decodificar nada.

A gente fez uma série de denúncias. Naquele momento, a gente não tornou o caso público porque não queria expor a vulnerabilidade do sistema. Mas a gente foi aos órgãos, às autoridades, imediatamente, e foi uma saga. Quando o Estadão divulgou o caso dos 16 milhões, a gente achou muito preocupante, porque era como se fosse um erro de um desenvolvedor. Um desenvolvedor ter acesso ao sistema, a uma chave de um banco de dados em texto e poder usar essa chave, colocá-la no código, para quem trabalha com isso, é uma prática muito básica que não se deve fazer. A gente já tinha falado disso em junho e, naquele momento, a gente monitorou por dez dias para ver se tomavam providências. Nunca entraram em contato, nunca responderam nossa denúncia. Acredito que os canais formais não tenham funcionado. Procurei pessoas na CGU [Controladoria-Geral da União] e elas foram atrás e disseram ter conversado com os desenvolvedores para corrigir a falha. Informalmente, acabou funcionando.

No documento de denúncia, a gente pede uma auditoria, que seja feito um pente-fino no código. O ministério se limitou a ocultar aquela parte que a gente denunciou sem retirar o resto e sem fazer uma análise cuidadosa, sem rever toda sua política. Duas coisas aconteceram: um desenvolvedor que não deveria ter acesso a todo o banco de dados e isso vazou e um arquivo que estava no ar e eles nem mudaram a senha, que é uma coisa básica que toda pessoa faz quando tem uma coisa vazada: vai lá e muda. Foi uma sequência de erros.

Por que os vazamentos se tornaram corriqueiros? Onde está o problema?

FERNANDA CAMPAGNUCCI O conceito que a gente trabalha é o de política de governança de dados. A governança tem tanto uma política de segurança quanto uma de transparência. Transparência também é importante. A gente não sabe quais as medidas que eles estavam tomando para implementar a LGPD [Lei Geral de Proteção de Dados]. O código não estava aberto, estava exposto, malfeito. Os códigos abertos acabam se tornando mais seguros porque tem muitos olhos em torno dele e isso acaba tornando-os mais seguros. O governo poderia ter sido permeável a essa comunidade técnica que estava disposta a ajudar e a sinalizar problemas, mas ignorou esse problema. Na mesma semana que a gente denunciou a falha de segurança que expunha os dados pessoais, eles tiraram do ar os dados públicos sobre a pandemia. Estão fazendo tudo ao contrário: omissão de dados públicos e violação de privacidade.

É possível saber como a lei de proteção de dados vem sendo implementada?

FERNANDA CAMPAGNUCCI Uma das coisas que a gente pede na denúncia — e que a gente não teve informação — é um relatório de impacto para entender que tipo de dados que estão sob guarda do ministério e quais são as medidas de proteção que estão sendo tomadas. A gente pediu esses protocolos, e o ministério, nos pedidos de informação que a gente fez, se limitou a dizer que seguia a LGPD. Não falou o que seguia. O que nos leva a pensar que, na verdade, não segue. Tudo indica que não segue. Ele não soube responder o que está fazendo para implementar a lei. Falta transparência nesse aspecto.

Os sistemas do Ministério da Saúde, do TSE e do STJ sofreram ataques. Que tipo de vulnerabilidade isso indica? Há tentativa de saná-la?

FERNANDA CAMPAGNUCCI Não existe sistema 100% seguro. Mas o que a gente viu no Ministério da Saúde é algo que foge à compreensão. Eles estão facilitando demais para esse tipo de ataque. Quem trabalha com política de segurança sabe que não existe sistema 100% seguro, então toma todo tipo de precaução, implementa criptografia, tem sistemas de backup. O que a gente viu, no caso do TSE, é um pouco diferente. No caso do ministério, a negligência está muito mais gritante.

Outro aspecto que o ministério precisa explicar é o quanto esse tipo de contrato que está fazendo, de alguns milhões de reais, está desconectado das políticas de segurança que os ministérios já vinham amadurecendo há alguns anos. O governo federal já tinha protocolos de segurança, já vinha construindo isso há alguns anos. Como uma empresa constrói um sistema de qualquer jeito, passa ou não por homologação de técnicos do ministério, passa por outro fluxo e não segue nenhum desses protocolos? Esses contratos não estão sendo fiscalizados? Essas políticas não estão sendo observadas? Talvez esteja acontecendo um desmonte do que já existia de política dessa governança.

O que precisa ser feito — e que a gente ainda não tem informação se foi feito — é a abertura de um processo administrativo-disciplinar para apurar responsabilidade. Para investigar tanto a empresa quanto quem supervisiona, o fiscal do contrato. A gente tem a implementação da LGPD agora, ela já está vigente, mas nada justifica, não há prazo de adequação que vá justificar tamanha exposição. A gente já estava sob vigência da LGPD e mais do que isso sobre direito constitucional à privacidade e a proteção de dados.

Quais implicações esses vazamentos podem ter?

FERNANDA CAMPAGNUCCI É uma extensão de dano que a gente ainda vai precisar compreender. Esse mercado de dados pessoais é tão complexo que as pessoas ainda não perceberam quanto estão vulneráveis diante desses mecanismos. Existem formas legais e ilegais de comercializar dados pessoais, e agora com a LGPD, muitas delas se tornaram ilegais, a maior parte delas. Esses dados podem estar circulando nesses locais obscuros de fóruns, de comercialização ilegal de dados. Sempre que tem um vazamento de senhas e a gente é alertado, ele acontece nesses fóruns. Pessoas anônimas não são responsabilizadas.

Esse vazamento do Ministério da Saúde não pode ficar sem consequência, porque a gente está falando de uma situação sem precedente. Sempre fica uma coisa muito velada. A gente sabe que existem vazamentos porque os aposentados recebem oferta de crédito bancário consignado, por exemplo. Quem é que vendeu o cadastro deles? Desta vez, a gente tem provas. Tem fatos mostrando que houve negligência, que esses dados podem ter sido quase que voluntariamente oferecidos para esse mercado. Eles foram expostos de uma maneira desproporcional.

Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project.