Pelo menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde. O problema aconteceu após um funcionário do Hospital Albert Einstein divulgar na internet lista com usuários e senhas que davam acesso aos bancos de dados de testados. O responsável pelo vazamento foi demitido. O hospital e o ministério disseram que vão investigar o caso.
Para o presidente da SaferNet Brasil, Thiago Tavares, o vazamento de dados de 16 milhões de pacientes de covid, revelado ontem pelo Estadão, é o maior vazamento de informações sensíveis do País. Ele afirma que o conteúdo é extremamente valioso para empresas e mostra que é preciso investir em novos protocolos de segurança.
Como você avalia a extensão do vazamento?
São dados sensíveis, de saúde, extremamente valiosos porque são confiáveis, obtidos através de exames de laboratórios e preenchimentos de formulários. Eles têm, por exemplo, valor para uma seguradora. Uma informação de que determinado usuário fez um teste de covid, tem comorbidade ou doença preexistente, é extremamente valiosa para alimentar sistemas de precificação de risco. O usuário pode sentir isso, por exemplo, na recusa de um plano de saúde ou se tiver dificuldade de fazer um seguro de vida. É o maior vazamento de dados sensíveis do País.
Esse vazamento mostra que os dados das pessoas estão sob risco?
Sim. Esse arquivo com logins e senhas foi colocado no GitHub, a maior plataforma mundial de desenvolvimento colaborativo de softwares. A quantidade de pessoas que usam essa plataforma é imensa. Muito provavelmente esse arquivo foi visto por outras pessoas, que fizeram cópias, acessaram os dados e muito provavelmente copiaram esses dados. Os dados da população não estão seguros e esse incidente é a prova disso. Um sistema como esse, que armazena dados sensíveis, precisa ser protegido por diversas camadas de segurança. Na área de segurança se utilizar certificado digital ou token para acessar sistemas como esse.
O vazamento dará um impulso para que novos protocolos de segurança sejam implantados?
Eu espero que seja um divisor de águas, mas sou cético em relação a isso. Outros vazamentos de grande magnitude envolvendo o setor público já ocorreram e não houve mudanças drásticas. Quem foi punido por vazamento de dados da Receita Federal (houve um em fevereiro de 2019, envolvendo autoridades) e do InfoSeg, sistema utilizado pelas forças de segurança pública?(Caso do Infoseg ocorreu em 2008 e as informações começaram a ser vendidas na rua Santa Ifigênia, no centro de São Paulo). Infelizmente, o cidadão brasileiro pode fazer pouca coisa, porque em se tratando de órgãos públicos você não tem a opção de não fornecer dados. Se você faz um teste pra covid, a notificação é compulsória.