Falha em site da Secretaria de saúde de Goiás expunha CPF, RG e contratos

Uma falha em um servidor da Secretaria de Saúde de Goiás fez com que dados de documentos pessoais do público, como CPF, RG e endereço, além de contratos do órgão com fornecedores, aparecessem em resultados de busca na web. Após contato de Tilt, o sistema foi retirado do ar no dia 3 de fevereiro pela equipe técnica da pasta.

O problema foi descoberto pelo pesquisador de segurança Jonathan Fonseca. Segundo ele, as informações de um backup antigo do site estavam sendo recuperadas pelo Google. No servidor da secretaria constavam pastas de informações com registro de data entre 2015 e 2017.

Relacionadas

Vazamento de dados de 220 milhões de pessoas: o que sabemos e quão grave é

Falha no site do Detran-RS expôs RG e CNH de 5,1 milhões de motoristas

Receba notícias de Tilt em seu WhatsApp

Mas nem todas as informações estavam disponíveis facilmente para o motor de busca. O acesso a parte dos dados era possível apenas por OCR, sigla em inglês para reconhecimento ótico de caracteres. É uma tecnologia que identifica caracteres em imagens. Se uma pessoa com mais conhecimento técnico buscasse os termos "CPF", "RG", "endereço" e "senha" no site da secretaria usando um programa com esse recurso, conseguiria acessar dados pessoais expostos na falha.

"Era possível usar esta fragilidade para roubar informações consideradas sensíveis ou conduzir ataques mais estruturados", disse Fonseca em conversa com Tilt. Até o momento, não há indícios de que alguém notou a falha e copiou os dados.

Após a publicação da matéria, a SES-GO (secretaria de estado da saúde de Goiás) informou que os "dados disponibilizados no site estão em cumprimento a Lei de Acesso à Informação), e os dados expostos são de organizações sociais responsáveis pela gestão das unidades da rede estadual de saúde".

Sobre a exposição, em nota, a secretaria explica que "o site em questão estava disponível para acesso como suporte para migração de dados e já foi retirado para acesso" e que "os dados que estavam expostos não divulgavam informações de usuários do SUS".

Lista de vazamentos só aumenta

Este poderia ser um caso isolado, mas não é; a verdade é que nossos dados pessoais vêm sendo muito maltratados no Brasil. Nas últimas semanas, vários órgãos públicos foram palco de vazamentos massivos.

Em novembro, um vazamento de senhas no Ministério da Saúde deixou ao menos 16 milhões de brasileiros que tiveram diagnóstico de covid-19 tiveram suas informações pessoais expostas por quase um mês. No mês seguinte, foram dados de mais de 240 milhões de brasileiros, incluindo falecidos. Em janeiro, o recorde: um banco de dados bastante detalhado de mais de 220 milhões de brasileiros começou a circular, incluindo até valor de salários.

O problema também é grave em serviços digitais regionais: também em janeiro, os sistemas do Detran-RS (Departamento Estadual de Trânsito do Rio Grande do Sul) expuseram informações de 5,1 milhões de motoristas, conforme Tilt denunciou. Agora foi a vez da Secretaria de Saúde de Goiás causar problemas.

Mesmo que o Brasil já conte com uma lei própria sobre isso —a LGPD (Lei Geral de Proteção de Dados)— ainda há pouca informação ou ferramentas para as pessoas afetadas protestarem contra os vazamentos.

Em casos assim, as empresas ou órgãos responsáveis pela falha devem notificar a ANPD (Autoridade Nacional de Proteção de Dados), mas o órgão é recente e por enquanto, por decisão do governo, só pode impor multas ou sanções a partir de agosto deste ano. Até lá, outros órgãos podem agir a favor das vítimas, como a Fundação Procon, o Ministério Público Federal, a Senacon (Secretaria Nacional do Consumidor) e Idec (Instituto Brasileiro de Defesa do Consumidor).

Vale avisar: se você foi vítima, redobre os cuidados com suas contas de redes sociais, lojas online, bancos e outros: troque suas senhas para outras mais fortes (com várias letras, números e caracteres especiais), evite clicar em links suspeitos, não forneça seus dados a qualquer um e ative senhas extras em seus apps.