Os dados da carteira de vacinação digital do ConecteSUS de milhões de brasileiros estão sendo expostos por um site hospedado nos Estados Unidos, aparentemente obtidos do aplicativo de saúde para o cidadão do Ministério da Saúde. Usando a forma vulgar de se referir à genitália feminina — xerecafind.com —, o site teve o domínio registrado no provedor de hospedagem web Hostinger no dia 20 de outubro.
O primeiro a publicar a exposição dos dados foi o site InCyber, que verificou, ao inserir os dados do cidadão no “formulário” de consulta da página, com o nome, CPF e data de nascimento (com a sequência ano, mês e data), que o site responde com dados distribuídos em 27 campos, entre os quais, nome, endereço e telefone da pessoa, marca e lote das vacinas tomadas contra a Covid-19.
Especialistas em segurança cibernética ouvidos pela reportagem do CISO Advisor avaliam que para construir a página de consulta, os hackers — que pelas expressões e linguagem tudo indica serem de nacionalidade brasileira — se valeram de um vazamento do Ministério da Saúde ocorrido anteriormente.
Esta não é a primeira vez que há exposição de dados da pasta. O Ministério da Saúde responde a dois processos administrativos na ANPD (Autoridade Nacional de Proteção de Dados) por falhas na proteção de dados. O órgão tem sob sua tutela, além de informações relativas à vacinação, atendimentos e consultas médicas, entre outras.
A reportagem do CISO Advisor entrou em contato com a Polícia Federal para verificar se há algum rastreamento do site e dos possíveis responsáveis por essa exposição. Na noite desta segunda-feira, 6, também foi procurado o Ministério da Saúde, mas não conseguimos contato. Nesta sexta-feira, 10, a pasta enviou um comunicado, o qual publicamos, a seguir, na íntegra:
“O Ministério da Saúde esclarece que não houve invasão aos sistemas de informação das plataformas do ConecteSUS. A pasta tomou conhecimento, no último dia 7 de novembro, da possível exposição de dados vacinais de Covid-19 e imediatamente notificou a Polícia Federal. O Ministério da Saúde segue colaborando com as investigações.
Uma análise interna apontou que houve um acesso aos sistema de registro de dados com a utilização de uma credencial válida e os dados foram expostos, posteriormente, em um site externo. De imediato, esse acesso ao sistema e o site externo foram bloqueados pela autoridade competente.
O Ministério da Saúde está em processo de notificação à Autoridade Nacional de Proteção de Dados (ANPD). A Pasta reforça o seu compromisso com a proteção dos dados dos cidadãos e a integridade dos sistemas e tem realizado várias ações para orientar as melhores práticas do uso dos sistemas de informação.”
