O Ministério da Saúde teve sua rede invadida por um hacker na última quinta-feira (28). O ataque, no entanto, não teve como objetivo vazar dados ou causar danos à plataforma - o invasor fez apenas um alerta em relação à vulnerabilidade: "Este site está um lixo!". O caso aconteceu algumas semanas após a descoberta de uma falha de segurança no e-SUS que expôs os dados de mais de 200 milhões de brasileiros na internet.
De acordo com a reportagem publicada pelo Estadão nesta quarta-feira (03), a mensagem do hacker ficou exposta com letras maiúsculas no FormSUS, serviço de criação de formulários do DataSUS que coleta dados de pacientes acolhidos pela rede pública.
Esse tipo de ação é conhecido no campo da segurança da informação como "defacement", algo comparável a uma pichação - o invasor realiza o ataque para modificar o conteúdo ou a estética de uma página na web, quase sempre com o intuito de passar uma mensagem.
"Qualquer criança consegue invadir este excremento digital, causar lentidão e até estragos maiores", criticou o hacker. Ele ainda deu alguns "conselhos" para o responsável pela tecnologia do site:
A solução é muito simples de ser implementada, com 1 semana de trabalho de uma empresa séria + custo de aproximadamente R$15 mil é possível fazer um site com a melhor tecnologia disponível no mercado e trazer segurança e agilidade a todos os usuários da plataforma no Brasil, não é caro, é?
Por fim, o autor da ação mandou um recado ao presidente da República, Jair Bolsonaro: "Favor levar a sério os assuntos de segurança da informação. Bolsonaro, dá um jeito aí!"
Procurado pelo Tecnoblog, o Ministério da Saúde afirmou, em nota, que "a situação já foi controlada pela equipe de segurança da informação da pasta" e "não teve impacto no vazamento de dados". O acesso ao FormSUS foi suspenso, de forma preventiva.
"A pasta contatou os gestores do formulário, na Secretaria Estadual de Saúde de São Paulo (SES/SP), para verificar o motivo da disponibilização dos dados para o público, e se isso violou a Lei Geral de Proteção de Dados (LGPD)", concluiu o comunicado.
Fonte: Terra