A rede do Ministério da Saúde sofreu nova invasão na quarta-feira, 17. A exemplo do ocorrido no fim de janeiro, o hacker fez duras críticas à segurança da rede: “Arrumem esse site porco ou na próxima vai vazar os dados dos responsáveis por essa porcaria”, afirmou, em mensagem que ficou exposta no “FormSUS”, um serviço da Saúde para elaborar e registrar formulários da rede pública.
O invasor assinou a mensagem como “hacker sincero”. Disse ainda que tem lido comentários nas redes sociais sobre outras falhas que ele já teria exposto no sistema da Saúde. “Obs Li o comentário de todos vocês no Twitter, Facebook, etc… Bjo (sic)”, escreveu.
No fim de janeiro, a rede do ministério foi alvo de um hacker que também mostrou o que pensa da segurança de dados da pasta. “ESTE SITE ESTÁ UM LIXO!”, escreveu o invasor. O Estadão revelou, em novembro e dezembro de 2020, que falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde expôs na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros, inclusive de Bolsonaro. A pasta também teve sistemas atingidos, no fim do ano passado, no mesmo período em que outros órgãos públicos foram invadidos, como o Superior Tribunal de Justiça (STJ) e o Tribunal Superior Eleitoral (TSE).
Nesta nova invasão, o hacker afirma que o site “continua uma bosta” e “nada foi feito”. “A única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos são de quem fez o formulário e não leu os termos (sic)”, afirmou. Não está claro se o mesmo hacker é o autor desta e das invasões passadas
O hacker também divulgou links que levam a imagens de documentos que estariam expostos pelas falhas de segurança no FormSUS, como carteiras de identidade e nomes de pacientes e funcionários. Ele ainda mostra uma lista sugerindo que milhares de formulários estão expostos. O hacker teve o cuidado de tarjar informações sensíveis.
O invasor também manda recados à Autoridade Nacional de Proteção de Dados (ANPD): “Como vocês deixam isto ir ao ar assim??? Se for começar deste jeito, pode parar e devolve nosso dinheiro !!! (sic)”. Criado por medida provisória em 2018, no governo de Michel Temer (MDB), o órgão tem a função de implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD).
Na sua mensagem, o hacker recomenda que dados não sejam colocados no FormSUS e aponta três tipos de vulnerabilidade na rede. Segundo Lucas Lago, desenvolvedor do projeto7c0.com.br e pesquisador na Universidade de São Paulo (USP), o hacker aponta falhas “bastante básicas”, que provavelmente foram a porta de entrada dele para o sistema do FormSUS. “Ele fez um comentário falando como são primárias as falhas que ele encontrou, depois mostrou que tem acesso a dados reais. E que são muitos dados, de muitos anos”, disse.
Lago afirma que aparentemente o invasor é um “gray hat”, um tipo de hacker que ataca sites e sistemas, agindo à margem da lei, mas não tem intenções ruins. “Ele está se esforçando para divulgar a vulnerabilidade, sem ganhar nada com os dados”, afirma.
Ao fim da mensagem deixada no FormSUS, o hacker ainda critica colegas: “Hackers sem vergonhas, parem de vender os dados, o custo para arrumar isto vai sair do seu bolso !! (sic)”, escreveu.
Procurado, o Ministério da Saúde disse que não iria se manifestar. O site do FormSUS está fora do ar. A pasta já havia anunciado que faria manutenção neste sistema, mas não informou se o site está indisponível por esta operação ou pelo ataque do “hacker sincero”.