16 Milhões de pessoas
Pela grande quantidade de dados e pelo alto grau de sigilo dessas informações, acho que podemos considerar este como o pior vazamento de dados deste ano no Brasil, ou seja, “A mãe de Todos ao Vazamentos de Dados”.
Segundo a reportagem do Estadão (que pode ser visto também nesse artigo do Metropolis), um funcionário que trabalha na área de ciência de dados do Hospital Albert Einstein publicou em seu GitHub pessoal uma planilha excel com senhas, dados pessoais e informações médicas extraídos do sistema do Ministério da Saúde. Essa pessoa foi demitida e eu notei também que ela apagou o perfil no LinkedIn.
Foram expostos dados de pelo menos 16 milhões de brasileiros que tiveram diagnóstico suspeito, confirmado de Coronavírus, e também os que foram internados com Covid-19. Cruzando os dados da planilha com as informações do sistema do Ministério da Saúde, acessíveis pelos logins vazados, era possível acessar informações pessoais altamente sigilosas e detalhadas dos pacientes, tais como nome, CPF, endereço, telefone, e registros médicos que incluíam a medicação usada no tratamento de COVID e informação sobre doenças pré-existentes.
Esse vazamento é emblemático, pois mostra um grande descaso com a proteção básica de dados tão sensíveis. Além do desrespeito a Lei Geral de Proteção de Dados Pessoais (LGPD), esse vazamento mostra que muitos processos básicos de segurança falharam no Hospital Albert Einstein. Além do mais, a desculpa dada pelo profissional mostra a irresponsabilidade com um cuidado básico de segurança, que é o de não usar dados de produção em ambiente de testes: segundo o funcionário, ele "publicou a planilha de senhas em seu perfil na plataforma github para a realização de um teste na implementação de um modelo".
Atualização (02/12): Nada está tão ruim que não possa piorar! Hoje saiu a notícia no Estadão que uma nova falha de segurança no sistema de notificações de Covid-19 do Ministério da Saúde deixou expostos na Internet, por pelo menos seis meses, dados pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde, representando dados de 243 milhões de brasileiros. Ou seja, mais dados do que toda a população atual, pois inclui informações de pessoas mortas.
E eu achava que já era muita coisa ter vazamento de dados pessoais e médicos de 16 milhões de pessoas. Mas agora, dessa vez, foram...
243 Milhões de brasileiros
O problema, dessa vez, foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde. Como essas credenciais estavam em um trecho do código do site, qualquer a pessoa com conhecimentos básicos de desenvolvimento conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.
Atualização em 03/12: olha a treta - o Idec protocolou uma representação junto ao Ministério Público Federal solicitando a abertura de inquérito sobre o vazamento de 16 milhões de dados no Ministério da Saúde.
PS: Pequenas atualizações em 03/12.
Nenhum comentário:
Postar um comentário