Clicky

SEGURANÇA

Quem vai pagar a conta do vazamento de dados de 16 milhões de brasileiros?

Ana Paula Lobo* ... 26/11/2020 ... Convergência Digital

Não foi um ataque hacker ao sistema, mas, sim, a ação de um homem - um cientista de dados - que permitiu a exposição de informações pessoais de pacientes com diagnósticos suspeitos ou confirmados de Covid-19, armazenadas no ministério da Saúde. Esses dados teriam ficado disponíveis na internet por quase um mês depois que senhas do Ministério da Saúde foram publicadas em uma plataforma aberta, segundo o jornal "O Estado de S. Paulo" em uma reportagem publicada nesta quinta-feira (26).

As senhas permitiam acesso a dados como CPF, endereço, telefone e doenças pré-existentes de pelo menos 16 milhões de pessoas em todo o país, segundo o jornal (veja detalhes mais abaixo). Os dados - segundo informações oficiais do Hospital Albert Einstein e do Ministério da Saúde- foram publicados por um funcionário do Hospital Albert Einstein, em São Paulo, em um site de compartilhamento de códigos de programação usado por programadores e cientistas de dados.

Por meio de nota oficial, nesta quinta-feira, 26/11, o Hospital Albert Einstein diz que 'o colaborador que infringiu as normas internas de proteção e segurança de dados foi desligado'. Ressalta ainda que "não houve divulgação de quaisquer dados pelo empregado e que o hospital não tem acesso a eles. Eles ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília".

O Ministério da Saúde, por sua vez, diz que a questão é ligada ao Hospital Albert Einstein, uma vez que "o Hospital informou ao Ministério da Saúde que iniciou um processo de apuração dos fatos. A equipe de segurança cibernética do hospital está tomando todas as medidas para conter um possível vazamento de arquivos contendo login e senha para acesso das informações dos sistemas via Elastic Search. A instituição informou, também, que uma planilha foi equivocadamente publicada em uma plataforma de hospedagem de código-fonte. Este documento foi apagado e está sendo realizado o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados."

O advogado especializado em direito eletrônico, Walter Capanema, consultado pelo Convergência Digital, apesar de ainda preferir aguardar mais esclarecimentos sobre o caso, disse que a 'falha foi absurda' e que o Hospital Albert Einstein e o Ministério da Saúde têm responsabilidade. "Eles podem acionar o cientista de dados judicialmente para responsabilizá-lo, que é o chamado direito de regresso, caso se comprove que o cientista de dados é realmente culpado. Mas tanto o Einstein como o Ministério de Saúde podem enfrentar ações de responsabilidade civil", afirma Capanema. Pela LGPD, não há responsabilidade nem punição, uma vez que multas só serão aplicadas a partir de agosto de 2021.


O Convergência Digital divulga as íntegras das duas notas oficiais:

Nota do Hospital Albert Einstein (26/11):

"São Paulo, 26 de novembro de 2020 – O Hospital Israelita Albert Einstein tomou conhecimento na tarde desta quarta-feira, 25/11, que um colaborador contratado para prestar serviços ao Ministério da Saúde havia arquivado informações de acesso a determinados sistemas sem a proteção adequada.

Estas informações foram removidas imediatamente e o fato comunicado ao Ministério da Saúde para que fossem tomadas medidas que assegurassem a proteção das referidas informações.

O Einstein ressalta que não houve divulgação de quaisquer dados pelo empregado e que o hospital não tem acesso a eles. Eles ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília.

A organização reitera seu compromisso com a segurança das informações e a proteção de dados e informa que já iniciou a apuração do incidente. Além disso, realizou na manhã da quinta-feira, 26/11, o desligamento do colaborador por ter infringido as normas internas adotadas para garantir proteção e segurança de dados."

Nota do Ministério da Saúde:

"O Ministério da Saúde informa que realizou reunião com o Hospital Israelita Albert Einstein – com quem tem parceria via Proadi -, para esclarecimento dos fatos. O profissional contratado atua no MS como cientista de dados e iniciou as atividades em 14/09/2020 e, no âmbito das medidas de segurança do ministério, em atendimento aos protocolos de compliance e confidencialidade, por meio de assinatura do termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica.

O Hospital informou ao Ministério da Saúde que iniciou um processo de apuração dos fatos. A equipe de segurança cibernética do hospital está tomando todas as medidas para conter um possível vazamento de arquivos contendo login e senha para acesso das informações dos sistemas via Elastic Search. A instituição informou, também, que uma planilha foi equivocadamente publicada em uma plataforma de hospedagem de código-fonte. Este documento foi apagado e está sendo realizado o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados. O hospital confirmou que houve falha humana de um dos seus colaboradores - e não do sistema.


Google alerta sobre ‘nova engenharia social’ que explora Windows 10 e Chrome

Hackers teriam criado blog sobre segurança para recolher novas vulnerabilidades ainda sem correção e distribuir malware.

Golpistas simulam agendamento de vacina contra covid e clonam dados

Não repassem dados pessoais por telefone ou por SMS. A vacinação contra a Covid-19 não exige cadastramento prévio no ministério da saúde, nem no aplicativo Conecte SUS Cidadão.

TRF que atende São Paulo e Mato Grosso do Sul sofre ataque hacker

Tribunal assumiu o ataque, mas reportou que 'não houve invasão aos sistemas nem às bases de dados, tampouco furto de informações". A Polícia Federal foi acionada.

Contra invasões, Microsoft orienta uma série de correções de vulnerabilidades

Primeiro patch tuesday de 2021 corrigiu 83 vulnerabilidades no sistema operacional Windows, Edge, Office, Visual Studio, .Net Core Engine e SQL Server, entre outros. Atenção total ao CVE-2021-1648, um bug no serviço splwow64 do Windows que pode permitir que um invasor eleve seu nível de privilégio.



  • Copyright © 2005-2020 Convergência Digital
  • O Portal Convergência Digital é um produto da editora APM LOBO COMUNICAÇÃO EDITORIAL LTDA - CNPJ: 07372418/0001-79
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G