A reportagem procurou o governo assim que soube do possível ataque, e repassou os detalhes para que a brecha fosse investigada. O Ministério da Saúde informou que a denúncia foi encaminhada para a Polícia Federal para investigação criminal. Também disse que o Departamento de Informática do SUS (Datasus) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários. Vazamento de dados pessoais de terceiros é crime previsto na lei de crimes cibernéticos (12.737/2012), com penas previstas que podem variar de três meses a três anos de prisão, com agravantes dependendo do caso.
Segundo a reportagem apurou, a falha estava no sistema de integração do SUS com outros aplicativos, numa parte da chamada API (sigla em inglês para Interface de Programação de Aplicativos). A API usada no sistema de cadastro do SUS, o Cadsus, tinha uma função para consulta de dados após login e senha do usuário no sistema. Mas, para chegar a isso, era gerada uma URL. Por exemplo, o endereço “consulta.php?dados=http://xxx.xxx.xxx.xx”, na qual os Xs no final do endereço são, na prática, os 11 números do CPF do usuário que fez a consulta. A API associava o CPF do usuário aos seus dados, e retornava com os dados completos sobre ele. O invasor entendeu que isso era uma brecha e testou um algoritmo capaz de testar 300 milhões de combinações válidas, obtendo os dados pessoais dos usuários a partir do CPF de cada um deles. Apenas 1% dos usuários do sistema teriam sido expostos nesta quinta-feira.
Isso poderia ter sido evitado? Este tipo de ataque pode ser realizado com relativa facilidade por alguém com algum conhecimento técnico, o que escancara a gravidade do problema. Especialistas ouvidos pelo UOL Tecnologia explicam que os usuários não poderiam ter feito nada para se prevenir, já que o problema foi no servidor de dados do SUS. O que devem fazer agora é mudar senhas e monitorar suas contas.
“Se dados pessoais vazam, os hackers podem usá-los para tentar hackear outras contas, para chantagem ou roubo de identidade”, diz Martin Hron, pesquisador de segurança senior da Avast. No entender de Hron, o fornecedor do sistema do SUS deveria ter feito mais atualizações, incluindo a criptografia da comunicação e a mudança de HTTP para HTTPS.
“A forma como o sistema identifica a sessão de um usuário logado deve ser alterada, pois é muito previsível e pode ser facilmente abusada”, alertou. Cecília Pastorino, pesquisadora de segurança da ESET, diz que faltou uma auditoria de segurança, que poderia ter evitado a brecha.
Segundo ela, os especialistas procuram vulnerabilidade, tentam explorá-las e medem o impacto de cada uma delas. “Esse tipo de auditoria é muito importante e evita que aplicativos sejam publicados na internet com sérias falhas de segurança, que poderiam ter sido facilmente identificadas em uma análise anterior”, afirma. O Ministério não respondeu se houve essa auditoria.
Fonte: https://noticias.uol.com.br/tecnologia/noticias/redacao/2019/04/11/dados-pessoais-de-24-milhoes-de-usuarios-do-sus-sao-vazados-na-internet.htm
