Credencial do MS exposta na web acessava 243 milhões de registros

Login e senha codificados em Base64 estavam incluídos no código fonte da interface do usuário
Da Redação
02/12/2020

O jornal O Estado de S. Paulo publicou hoje uma notícia informando a existência de uma falha no e-SUS-Notifica, o sistema de notificações de covid-19, que deixava expostos 243 milhões de registros contendo dados pessoais como nome completo, endereço, CPF e telefone. A falha era a existência das credenciais de acesso contidas no próprio código fonte da parte “cliente” do sistema (aberta para a intenet), ou seja, a interface do usuario.

O código pode ser visualizado em qualquer navegador. As credenciais estavam codificadas em Base64 – o que não chega a ser um problema de leitura ou decodificação para os especialistas.

Veja isso
Ministério da Saúde admite que pode ter sofrido ataque cibernético
Invasão de rede tira do ar Tribunal Federal Regional de Brasília

Segundo as informações obtidas pelo jornal, o sistema foi desenvolvido pela empresa Zello, antiga MBA Mobi segundo a publicação, e a falha estava ocorrendo há pelo menos seis meses. A MBA Mobi tem em seu portfólio sistemas desenvolvidos para o Ministério da Educação, Ministério da Saúde, TCU e Banco Regional de Brasília, por exemplo. 

Essa notícia é a terceira sobre falta de segurança em sistemas do Ministério da Saúde nos últimos 30 dias. Os registros que ficaram expostos seriam tanto dos clientes do SUS quanto dos clientes de planos de saúde. O total é superior ao número de habitantes do Brasil porque contém registros de pessoas que já morreram.

Compartilhar:

Últimas Notícias

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)