O jornal O Estado de S. Paulo publicou hoje uma notícia informando a existência de uma falha no e-SUS-Notifica, o sistema de notificações de covid-19, que deixava expostos 243 milhões de registros contendo dados pessoais como nome completo, endereço, CPF e telefone. A falha era a existência das credenciais de acesso contidas no próprio código fonte da parte “cliente” do sistema (aberta para a intenet), ou seja, a interface do usuario.
O código pode ser visualizado em qualquer navegador. As credenciais estavam codificadas em Base64 – o que não chega a ser um problema de leitura ou decodificação para os especialistas.
Veja isso
Ministério da Saúde admite que pode ter sofrido ataque cibernético
Invasão de rede tira do ar Tribunal Federal Regional de Brasília
Segundo as informações obtidas pelo jornal, o sistema foi desenvolvido pela empresa Zello, antiga MBA Mobi segundo a publicação, e a falha estava ocorrendo há pelo menos seis meses. A MBA Mobi tem em seu portfólio sistemas desenvolvidos para o Ministério da Educação, Ministério da Saúde, TCU e Banco Regional de Brasília, por exemplo.
Essa notícia é a terceira sobre falta de segurança em sistemas do Ministério da Saúde nos últimos 30 dias. Os registros que ficaram expostos seriam tanto dos clientes do SUS quanto dos clientes de planos de saúde. O total é superior ao número de habitantes do Brasil porque contém registros de pessoas que já morreram.