SUS tranca servidor. Hacker diz que há mais dois abertos

O Ministério da Saúde classificou como falsa a notícia de que houve um vazamento de dados com origem na base do CADSUS. Ao mesmo tempo, colocou em ‘manutenção’ os servidores que atendem no endereço indicado como vulnerável pelo hacker ‘Tr3v0r’, que anunciou a invasão. O portal do MS que agora está em manutenção é o do Departamento de Atenção Básica – DAB, cujo endereço é dabsistemas.saude.gov.br.  No entanto, Tr3v0r informou em sua conta de Twitter que existem mais dois endereços com APIs abertas para qualquer pessoa consultar os dados de usuários do SUS.

Segundo o portal Tecnoblog, o sistema que teria servido como fonte do vazamento ficou exposto desde pelo menos 2014, e desde o dia 11 está “em manutenção”. O hacker que anunciou o vazamento explicou ao Tecnoblog que obteve dados de 205 milhões de pessoas, sem registros duplicados, e anunciou que ainda irá publicá-los.

Na entrevista ao Tecnoblog, Tr3v0r disse que os dados estavam expostos por meio de uma API, num dos domínios do Ministério da Saúde. A API podia ser acessada por uma URL na qual se inseria um CPF, no padrão “consulta.php?cpf=xxx.xxx.xxx.xx”. Tr3v0r disse que publicou essea informação no GitHub em 2015.

Hacker anuncia: 205M de registros do SUS vazados

Um hacker chamado Tr3v0r anunciou que o sistema de informações do SUS está expondo por meio de uma API todos os dados médicos da população brasileira. O vazamento é da ordem de 205 milhões de registros. Ontem à tarde, o hacker expôs para download uma amostra com cerca de 2,4 milhões de registros num endereço da Internet.  Os registros têm muitos detalhes: nome completo, nome da mãe, endereços, números de CPF e datas de nascimento. Segundo informado pelo hacker ao UOL, o SUS foi avisado do problema em 29 de março, mas nada foi feito. Segundo o UOL essa informação não foi confirmada pelo Ministério da Saúde.

Segundo o portal DefCOn Lab, Tr3v0r na verdade já havia anunciado em fevereiro que esses dados estavam expostos. A publicação questiona como seria a atuação da Autoridade Nacional de Proteção de Dados (ANPD) nesse caso.

O vazamento foi indicado ao Cisoadvisor pelos especialistas Mateus Veras e Lipe Hifram.