SUS tranca servidor. Hacker diz que há mais dois abertos

O Ministério da Saúde classificou como falsa a notícia de que houve um vazamento de dados com origem na base do CADSUS. Ao mesmo tempo, colocou em ‘manutenção’ os servidores que atendem no endereço indicado como vulnerável pelo hacker ‘Tr3v0r’, que anunciou a invasão. O portal do MS que agora está em manutenção é o do Departamento de Atenção Básica – DAB, cujo endereço é dabsistemas.saude.gov.br.  No entanto, Tr3v0r informou em sua conta de Twitter que existem mais dois endereços com APIs abertas para qualquer pessoa consultar os dados de usuários do SUS.

Segundo o portal Tecnoblog, o sistema que teria servido como fonte do vazamento ficou exposto desde pelo menos 2014, e desde o dia 11 está “em manutenção”. O hacker que anunciou o vazamento explicou ao Tecnoblog que obteve dados de 205 milhões de pessoas, sem registros duplicados, e anunciou que ainda irá publicá-los.

Na entrevista ao Tecnoblog, Tr3v0r disse que os dados estavam expostos por meio de uma API, num dos domínios do Ministério da Saúde. A API podia ser acessada por uma URL na qual se inseria um CPF, no padrão “consulta.php?cpf=xxx.xxx.xxx.xx”. Tr3v0r disse que publicou essea informação no GitHub em 2015.

Hacker anuncia: 205M de registros do SUS vazados

Um hacker chamado Tr3v0r anunciou que o sistema de informações do SUS está expondo por meio de uma API todos os dados médicos da população brasileira. O vazamento é da ordem de 205 milhões de registros. Ontem à tarde, o hacker expôs para download uma amostra com cerca de 2,4 milhões de registros num endereço da Internet.  Os registros têm muitos detalhes: nome completo, nome da mãe, endereços, números de CPF e datas de nascimento. Segundo informado pelo hacker ao UOL, o SUS foi avisado do problema em 29 de março, mas nada foi feito. Segundo o UOL essa informação não foi confirmada pelo Ministério da Saúde.

Segundo o portal DefCOn Lab, Tr3v0r na verdade já havia anunciado em fevereiro que esses dados estavam expostos. A publicação questiona como seria a atuação da Autoridade Nacional de Proteção de Dados (ANPD) nesse caso.

O vazamento foi indicado ao Cisoadvisor pelos especialistas Mateus Veras e Lipe Hifram.

Ataque hacker destrói 18 anos de e-Mails

Um hacker invadiu os servidores da VFEmail, um provedor de e-Mail da cidade de Milwaukee (Wisconsin, EUA) e apagou tudo. Não somente os bancos de dados: ele formatou os discos, apagou as máquinas virtuais, destruiu tudo segundo o dono da empresa, o norte-americano Rick Romero. A VFEmail não é um serviço de e-Mail comum: ela fornece endereços de e-mail anônimos, gratuitamente e mediante pagamento.

O ataque foi curto mas de uma eficiência impressionante, e parece ter começado ontem, segunda-feira, 11 de fevereiro. No Twitter da empresa, foi feito o seguinte post (veja ao lado): “Não parece bom. Todos os sistemas expostos ao exterior, com diferentes sistemas operacionais e autenticação remota, em vários datacenters, caíram”.

Enquanto isso, vários clientes publicavam tweets reclamando da falta de acesso ao serviço. Duas horas após essa mensagem, o Twitter da VFEmail disse que o atacante foi localizado fazendo “formatação completa do servidor de backup”, rodando comandos Linux. Estava usando, segundo o tweet, um endereço IP de um provedor de serviços de Sofia, Bulgária, o que pode ter sido um mero intermediário, provavelmente usado para despistar. A empresa acrescentou: “Neste momento, o invasor formatou todos os discos em todos os servidores. Todas as VMs foram perdidas. Todos os servidores foram perdidos, todos os servidores de backup foram perdidos”. Essas máquinas estavam em provedores nos EUA.

Romero acrescentou que os servidores hospedados na Holanda estavam íntegros, mas com um conjunto de dados muito menor do que nos EUA, de modo que “os backups de NL (Holanda) estavam intactos e devem estar lá”.

A retomada das atividade está ocorrendo gradualmente, justamente graças aos sistemas hospedados na Holanda e seus backups. A VFEmail também planeja examinar o servidor de arquivos cuja formatação foi possível interromper, para ver se pode ser restaurado.

Neste cenário não houve pedido de resgate, apenas ataque e destruição. Não parece ser uma operação amadora porque, conforme enfatizado pelo operador do VFEmail, “as VMs não compartilharam a mesma autenticação, mas todas foram destruídas. Foi mais do que uma exploração baseada em múltiplas senhas via ssh “. Não foi o primeiro ataque. Os anteriores foram:

  • 2015 – um grupo exigiu pagamento de Romero, ele não pagou. Sofreu um ataque de DDoS pesado
  • 2017 – outro DDoS, tão pesado que o provedor expulsou a VFEmail e ela teve de fazer hospedagem em outro lugar
  • 2018 – em dezembro mais um ataque de DDoS