Informações pessoais de, pelo menos, 16 milhões de brasileiros com diagnóstico positivo ou suspeito de COVID-19 foram expostas na internet por cerca de um mês. A ESET, empresa líder em detecção proativa de ameaças, explica o ocorrido e mostra o que agentes maliciosos podem fazer com os dados obtidos.

O vazamento ocorreu depois que um funcionário do Hospital Albert Einstein, de São Paulo, carregou no GitHub, uma plataforma de hospedagem de códigos-fonte, um documento contendo nomes de usuários e senhas para acessar um banco de dados de pessoas que foram testadas, diagnosticadas e em, alguns casos, hospitalizadas por coronavírus, e que faz parte de um projeto com o Ministério da Saúde (do qual o hospital faz parte) denominado PROADI-SUS, que tem como objetivo fazer análises preditivas sobre a pandemia.

Aqueles que possuíam essas credenciais puderam acessar dois bancos de dados federais, E-SUS-VE e Sivep-Influenza, que contêm registros de pessoas suspeitas, diagnosticadas ou hospitalizadas por COVID-19. Além de informações confidenciais e sigilosas das pessoas, como nomes, CPF e endereços, esses bancos de dados continham detalhes do histórico médico das pessoas, como problemas de saúde ou diagnósticos anteriores.

As credenciais permitiam acesso a informações sigilosas, entre as quais estavam pacientes como o presidente do Brasil, Jair Bolsonaro, além de outros membros do governo que haviam confirmado publicamente seu diagnóstico ou suspeita dele.

Conforme o funcionário do hospital explicou à mídia, o motivo pelo qual ele carregou esse modelo no GitHub foi para realizar um teste de implementação, mas ele se esqueceu de excluir o documento do repositório.

Em nota divulgada pelo hospital, a instituição afirma ter tomado conhecimento do que aconteceu quando “um colaborador contratado para prestar serviços ao Ministério da Saúde arquivou informações de acesso a determinados sistemas sem proteção adequada”. Da mesma forma, a nota garante que a informação foi retirada imediatamente e que o ocorrido foi comunicado ao Ministério da Saúde para que as medidas correspondentes pudessem ser tomadas para garantir a proteção da informação.

Por sua vez, em nota do ministério, a instituição garante que, embora as credenciais vazadas não permitam o acesso direto às informações pessoais e que outros fatores técnicos sejam necessários para se chegar aos dados, está monitorando a web antes da possibilidade que as informações expostas podem ser replicadas em algum lugar.

O que um agente malicioso pode fazer com as informações vazadas?

Infelizmente, muitas vezes há casos conhecidos de exposição de dados devido a configurações incorretas ou como resultado de acesso impróprio a um sistema. Publicamos este mês sobre a exposição de dados confidenciais de milhões de hóspedes de hotéis em todo o mundo, devido a um erro de configuração de um servidor em nuvem. 

“Além de conscientizar sobre a importância de revisar as configurações de segurança e a privacidade das informações mantidas pelas organizações - e também pelos usuários em suas contas -, é importante conhecer as consequências após vazamentos, como ataques de phishing ou outro tipo de ataque de engenharia social que faz uso dessas informações” comentou Daniel Barbosa, especialista em Segurança da Informação da ESET.

Como mencionado acima, geralmente o que é acontece é que agentes mal-intencionados postam informações confidenciais do usuário em sites obscuros que eles compartilham ou trocam por outros agentes maliciosos para executar campanhas para roubar mais informações ou comprometer os usuários com malware. Portanto, para aqueles que podem ter feito parte dessas mais de 16 milhões de pessoas que estiveram envolvidas nesta exposição massiva de informações, recomendamos que estejam atentos para possíveis e-mails de phishing que se passam por uma empresa ou organização e que incluem informações pessoais para fazer com que acreditem que são e-mails legítimos.

Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: https://www.welivesecurity.com/br

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite www.eset.com/b

Siga os canais do Portal 93 Notícias: YouTube, Instagram, Facebook, Threads e TikTok

Participe da comunidade da 93 Notícias no Whatsapp e receba as principais notícias do dia direto no seu celular. Clique aqui e se inscreva.