Site expõe dados do ConecteSUS sobre vacinação da Covid-19

Erivelto Tadeu
07/11/2023

Os dados da carteira de vacinação digital do ConecteSUS de milhões de brasileiros estão sendo expostos por um site hospedado nos Estados Unidos, aparentemente obtidos do aplicativo de saúde para o cidadão do Ministério da Saúde. Usando a forma vulgar de se referir à genitália feminina — xerecafind.com —, o site teve o domínio registrado no provedor de hospedagem web Hostinger no dia 20 de outubro. 

O primeiro a publicar a exposição dos dados foi o site InCyber, que verificou, ao inserir os dados do cidadão no “formulário” de consulta da página, com o nome, CPF e data de nascimento (com a sequência ano, mês e data), que o site responde com dados distribuídos em 27 campos, entre os quais, nome, endereço e telefone da pessoa, marca e lote das vacinas tomadas contra a Covid-19.

Especialistas em segurança cibernética ouvidos pela reportagem do CISO Advisor avaliam que para construir a página de consulta, os hackers — que pelas expressões e linguagem tudo indica serem de nacionalidade brasileira — se valeram de um vazamento do Ministério da Saúde ocorrido anteriormente.

Esta não é a primeira vez que há exposição de dados da pasta. O Ministério da Saúde responde a dois processos administrativos na ANPD (Autoridade Nacional de Proteção de Dados) por falhas na proteção de dados. O órgão tem sob sua tutela, além de informações relativas à vacinação, atendimentos e consultas médicas, entre outras.

A reportagem do CISO Advisor entrou em contato com a Polícia Federal para verificar se há algum rastreamento do site e dos possíveis responsáveis por essa exposição. Na noite desta segunda-feira, 6, também foi procurado o Ministério da Saúde, mas não conseguimos contato. Nesta sexta-feira, 10, a pasta enviou um comunicado, o qual publicamos, a seguir, na íntegra:

“O Ministério da Saúde esclarece que não houve invasão aos sistemas de informação das plataformas do ConecteSUS. A pasta tomou conhecimento, no último dia 7 de novembro, da possível exposição de dados vacinais de Covid-19 e imediatamente notificou a Polícia Federal. O Ministério da Saúde segue colaborando com as investigações.

Uma análise interna apontou que houve um acesso aos sistema de registro de dados com a utilização de uma credencial válida e os dados foram expostos, posteriormente, em um site externo. De imediato, esse acesso ao sistema e o site externo foram bloqueados pela autoridade competente.

O Ministério da Saúde está em processo de notificação à Autoridade Nacional de Proteção de Dados (ANPD). A Pasta reforça o seu compromisso com a proteção dos dados dos cidadãos e a integridade dos sistemas e tem realizado várias ações para orientar as melhores práticas do uso dos sistemas de informação.”

Compartilhar: