Stilus outro

Vazamento de senha do Minist√©rio da Sa√ļde exp√Ķe dados de 16 milh√Ķes de pacientes de covid

Por Redação em 26/11/2020 às 09:32:00

Com essas senhas, era possível acessar os registros de covid-19 lan√ßados em dois sistemas federais: o E-SUS-VE, no qual s√£o notificados casos suspeitos e confirmados da doen√ßa quando o paciente tem quadro leve ou moderado, e o Sivep-Gripe, em que s√£o registradas todas as interna√ß√Ķes por Síndrome Respiratória Aguda Grave (SRAG), ou seja, os pacientes mais graves.

A exposi√ß√£o dos dados foi descoberta pelo Estad√£o após uma denúncia recebida pela reportagem com o link para a p√°gina onde as senhas dos sistemas estavam disponíveis. A planilha com as informa√ß√Ķes foi publicada em 28 de outubro no perfil pessoal de Wagner Santos, cientista de dados do Einstein, na plataforma github, usada por programadores para hospedar códigos e arquivos.

A reportagem acessou o sistema para checar a veracidade dos dados. Ao verificar que as senhas eram v√°lidas, buscou registros de autoridades que j√° haviam divulgado publicamente diagnóstico ou suspeita de covid e confirmou que os dados estavam corretos.

Os bancos de dados do ministério trazem, além das informa√ß√Ķes pessoais dos pacientes, detalhes considerados confidenciais sobre o histórico clínico, como a existência de doen√ßas ou condi√ß√Ķes pré-existentes, entre elas diabete, problemas cardíacos, c√Ęncer e HIV.

Alguns registros de pacientes internados traziam até informa√ß√Ķes do prontu√°rio, como quais medicamentos foram administrados durante a hospitaliza√ß√£o. No registro de Pazuello, por exemplo, era possível saber em qual andar do Hospital das For√ßas Armadas ele ficou internado e qual profissional deu baixa em sua interna√ß√£o.

Tanto pacientes da rede pública quanto da privada tiveram seus dados expostos. Isso porque a notifica√ß√£o de casos suspeitos ou confirmados de covid ao Ministério da Saúde é obrigatória a todos os hospitais.

Para o advogado Juliano Madalena, professor de Direito Digital e fundador do fórum direitodigital.io, o vazamento das senhas e exposi√ß√£o dos dados que deveriam ser resguardados pelo poder público é preocupante. De acordo com o especialista, as informa√ß√Ķes podem ser usadas para fins comerciais por diferentes empresas. "Dados de saúde podem ser usados por empresas do ramo que queiram criar produtos específicos voltados para um público, por empresas de seguro de vida ou planos de saúde de forma indevida, muitas vezes até com aspecto discriminatório, pois você tem as informa√ß√Ķes sobre o histórico de saúde da pessoa", diz.

O advogado diz que, considerando a Lei Geral de Prote√ß√£o de Dados, é dever de quem controla e acessa os dados adotar medidas que evitem vazamentos. Nesse caso, tanto o Einstein e seu funcion√°rio quanto o Ministério da Saúde podem ser responsabilizados por dano coletivo por terem exposto informa√ß√Ķes de milh√Ķes de pessoas. Mesmo quando n√£o agem de forma proposital, respons√°veis por vazamento de dados pessoais e sensíveis podem ser obrigados judicialmente a pagar indeniza√ß√Ķes por dano coletivo.

Após serem comunicados pelo Estad√£o sobre o vazamento das senhas de sistemas federais, o Hospital Albert Einstein e o Ministério da Saúde disseram que as chaves de acesso foram removidas da internet e trocadas nos sistemas, informa√ß√Ķes confirmadas pela reportagem. Afirmaram ainda que uma investiga√ß√£o interna ser√° aberta pelo Einstein para apurar as responsabilidades.

O Einstein afirmou que foi comunicado somente na tarde de ontem, após contato da reportagem, que "um colaborador teria arquivado informa√ß√Ķes de acesso a determinados sistemas sem a prote√ß√£o adequada". O hospital diz ter comunicado o Ministério da Saúde para que "fossem tomadas as medidas para assegurar a prote√ß√£o das referidas informa√ß√Ķes".

O Einstein afirmou ainda que todos os seus funcion√°rios passam por treinamento de seguran√ßa digital e que "tomar√° as medidas administrativas cabíveis". Questionado sobre o tipo de servi√ßo que prestava para o ministério, o hospital informou que trata-se de um projeto do Programa de Apoio ao Desenvolvimento Institucional do Sistema Único de Saúde (Proadi-SUS) em que dados epidemiológicos eram usados para fazer an√°lise preditiva da pandemia.

A reportagem questionou a institui√ß√£o o motivo de ela ter acesso aos dados pessoais e n√£o apenas informa√ß√Ķes sem identifica√ß√£o e foi informada que o banco de dados n√£o fica disponível para o Einstein e somente ao funcion√°rio do hospital que ficava baseado no próprio Ministério da Saúde.

J√° o órg√£o federal confirmou a parceria e disse que realizou reuni√£o com o Einstein para esclarecimento dos fatos. Disse que o profissional Wagner Santos, que publicou as senhas, é contratado pelo Einstein e atua no ministério desde setembro como cientista de dados. "No √Ęmbito das medidas de seguran√ßa do ministério e em atendimento aos protocolos de compliance e confidencialidade, ele assinou termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica", disse a pasta federal.

De acordo com o ministério, o Einstein confirmou que houve falha humana de um dos seus colaboradores – e n√£o do sistema e informou que iniciou processo de apura√ß√£o dos fatos. O órg√£o disse que est√° realizando "o rastreamento de possíveis sites ou ciberespa√ßos onde os dados podem ter sido replicados".

A pasta disse também que o Departamento de Inform√°tica do SUS (DataSUS) revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha divulgada pelo funcion√°rio do Einstein. "O Ministério da Saúde ressalta que todos os técnicos que têm acesso aos seus sistemas de informa√ß√£o assinam termo de responsabilidade para uso das informa√ß√Ķes e todos est√£o cientes de que a divulga√ß√£o de informa√ß√Ķes pessoais est√° sujeita a san√ß√Ķes penais e administrativas."

Também procurado pela reportagem, o funcion√°rio Wagner Santos, do Einstein, confirmou que publicou a planilha de senhas em seu perfil na plataforma github para a realiza√ß√£o de um teste na implementa√ß√£o de um modelo, porém esqueceu de remover o arquivo da p√°gina pública.

Publicado primeiro em Banda B ¬Ľ Vazamento de senha do Ministério da Saúde exp√Ķe dados de 16 milh√Ķes de pacientes de covid

Fonte: Banda B

Comunicar erro

Coment√°rios

Queimada