Hacker invade site do Ministério da Saúde e debocha da segurança
04/02/2021
Um hacker invadiu um site do Ministério da Saúde na última sexta-feira (29) e deixou recados para o Presidente da República e para os responsáveis. O alvo da invasão foi o FormSUS, serviço do DataSUS para a criação de formulários.
Apesar da invasão, aparentemente não houve vazamento de dados. O que o ocorreu foi um “defacement”, quando um hacker consegue acessar o servidor web responsável por um site e modifica ou substitui o conteúdo de uma página. É o equivalente digital de uma pichação e, como tal, frequentemente serve como uma forma para o invasor mandar um recado.
“ESTE SITE ESTÁ UM LIXO! Qualquer criança consegue invadir este excremento digital, causar lentidão e até estragos maiores”, disse o invasor. “Favor levar a sério os assuntos de segurança da informação. Bolsonaro !, dá um jeito aí !”.
Além da mensagem desaforada, o hacker também deixou sugestões mais práticas: “A solução é muito simples de ser implementada, com 1 semana de trabalho de uma empresa séria + custo de aproximadamente R$15 mil é possível fazer um site com a melhor tecnologia disponível no mercado e trazer segurança e agilidade a todos os usuários da plataforma no Brasil, não é caro é ?”.
Dados expostos no Ministério da Saúde
Em dezembro passado veio à tona que um vazamento em um site do Ministério da Saúde deixou expostas, durante mais de seis meses, informações de mais de 200 milhões de brasileiros. Tratam-se de informações de beneficiários do Sistema Único de Saúde (SUS), mas também de contratantes de planos de saúde. Foram expostos número de CPF, nome completo, endereço e telefone.
Entre as informações divulgadas estavam dados do próprio presidente Jair Bolsonaro; de Rodrigo Maia e Davi Alcolumbre, presidentes da Câmara dos Deputados e do Senado na época; bem como do atual presidente do Supremo Tribunal Federal (STF), Luiz Fux.
Na época o Ministério da Saúde disse que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do Ministério”. Neste ponto, vale lembrar que pela nova Lei Geral de Proteção de Dados (LGPD), os responsáveis podem ser responsabilizados por dano individual ou coletivo e ainda serem obrigados a pagar indenizações.
“Pela Lei Geral de Proteção de Dados, quem é controlador da base de dados tem responsabilidades inclusive no que diz respeito à segurança dessas bases. Deixar que qualquer um tenha acesso a senhas de acesso a bases de dados é um erro de segurança básico”, disse Joana Varon, fundadora e diretora da organização Coding Rights.
*Com informações do Estado de São Paulo e Olhar Digital
*Foto: Pixabay