Segurança Cibernética

Vazamento de dados do SUS: o que fazer se isso realmente for verdade

Andre Munhoz Pinto, 18 Abril 2019

Apesar da negação do Ministério da Saúde, há fortes indícios de que o vazamento realmente tenha ocorrido. O que fazer agora?

O UOL Tecnologia publicou no último dia 11/04 a informação de que os dados de 2,4 milhões de pessoas haviam vazado do site do Sistema Único de Saúde (SUS), incluíndo nomes completos, nomes da mãe, endereços, números de CPF e datas de nascimento. A publicação cita como fonte uma pessoa não identificada que teria sido a responsável pelo ataque. Já o Ministério da Saúde nega o fato e diz que isso não passa de uma fake news.

Por outro lado, o site Tecnoblog, que diz ter conseguido contato direto com o responsável pelo ataque, o qual estaria usando o nome Tr3v0r como identificação, afirma que o vazamento realmente ocorreu. Isso teria sido comprovado por um dos jornalistas do Tecnoblog que teve seus dados vazados no mesmo site do SUS. Segundo matéria de Felipe Ventura, o vazamento ocorreu porque um dos dados que o hacker teve acesso é de um endereço seu que só foi usado naquele site especificamente, então não poderia ter sido adquirido de outro local.

Já o site Tecmundo, que preferiu não se envolver em polêmica e simplesmente publicou a resposta do Ministério da Saúde, lembrou que não é a primeira vez que o SUS é acusado de ter um sistema de segurança frágil. Em outubro de 2018, cibercriminosos teriam alterado dados de cidadãos registrados no Cadastro Nacional de Usuários do Sistema Único de Saúde (CADSUS). Na época, cibercriminosos estariam até mesmo modificando datas de óbito.

O Tecmundo ainda publicou em 2015 uma reportagem especial sobre a segurança dos sistemas de informação que gerenciavam sites e cadastros de várias repartições do governo Federal, incluindo o próprio SUS. Portanto, embora o Ministério da Saúde negue veementemente a veracidade deste ataque, os indícios do crime e o histórico do SUS com relação ao gerenciamento de dados não ajudam a ratificar o Ministério. Na verdade, isso levanta algumas perguntas, como: os sistemas são realmente seguros? Devo manter meus cadastros no SUS e outros órgãos públicos? O que fazer se eu desconfiar de ser uma das vítimas? Quais as consequências desse ataque para a minha vida?

E agora...?

Bem, primeiramente é preciso lembrar que os cibercriminosos, em muitos casos, estão um passo à frente de suas vítimas e, portanto, qualquer empresa e instituição (ou mesmo o usuário comum da internet), estão sempre em risco quando o assunto é ataque cibernético.

Em maio de 2017 um ataque de ransomware derrubou o sistema de comunicação da Telefônica no mundo todo, além de ter afetado significativamente o do sistema de saúde do Reino Unido. Tudo porque havia uma falha em um software da Microsoft que, embora tenha sido corrigido pela empresa, a sua atualização não foi feita por centenas de empresas ao redor do mundo.

Portanto, se realmente houve um ataque ao SUS, o Ministério da Saúde não deveria se sentir mal por isso, mas sim informar isso ao público e trabalhar para melhorar a manutenção de seus sistemas de segurança.

E por que deveria admitir? Porque os dados de milhões de pessoas podem estar em risco. É praticamente impossível para cidadãos brasileiros não se registrarem em algum sistema de comunicação do governo, portanto, ninguém deveria deixar de preencher formulários originais desses órgãos. Mas o que fazer se você suspeitar de ser uma das vítimas?

Sou uma vítima

Dados vazados são geralmente utilizados para dar mais credibilidade aos ataques de phishing, que são e-mails falsos pedindo para usuários clicarem em links malignos ou fornecer acesso a informações pessoais, como contas bancárias. Eles também podem ser vendidos na darkweb para as mais variadas intenções, uma delas para a distribuição de material de marketing através de spams, o que não seria algo extremamente sério, mas poderia também ser utilizado de maneiras mais inescrupulosas.

Portanto, se você foi vítima de um vazamento de dados muito cuidado com qualquer contato que recebe de estranhos, seja via e-mail ou outras formas de comunicação digital, ou via ligação telefônica. Desconfie de tudo. Por exemplo, se um e-mail estranho ou mensagem anormal via aplicativo de mensagem vier de uma pessoa conhecida, entre em contato com ela, preferencialmente, via telefone ou pessoalmente para saber se aquela comunicação “estranha” realmente é verdadeira.

Outra medida importante é sempre mudar suas senhas de email ou de acesso a cadastros e sites online. Como recomendação, sugerimos o uso do Avast Passwords, um gerenciador de senhas que cria senhas seguras e aleatórias para você, assim você não terá de lembrar cada uma delas ao acessar suas contas online.

Por fim, se uma empresa ou instituição formalmente assumir o ataque, como foi o caso da Netshoes, entre em contato com elas para saber quais os próximos passos a seguir.