Brecha do ConecteSUS permite não imunizados burlarem certificado da vacina
O aplicativo ConecteSUS, do Ministério da Saúde, apresenta uma falha de segurança que permite a validação do certificado de vacina contra a covid-19 através da leitura de qualquer QR Code. O erro abre uma brecha para não imunizados burlarem a emissão do passaporte da vacina, documento que atesta a imunização exigida por diversos estados para permitir a entrada em eventos ou estabelecimentos.
O problema foi descoberto pela agência de notícias "Saiba Mais", e confirmado por Tilt. Em resposta, o Ministério da Saúde informou "que identificou a falha na segunda-feira (24), e com a máxima agilidade efetuou a atualização do componente de validação de QR-Code do aplicativo ConecteSUS".
A pasta acrescentou que a "ferramenta está funcionando normalmente no site e nas lojas de aplicativos Android e iOS". Contudo, Tilt testou o leitor de QR Code novamente durante a manhã de hoje e verificou que o problema ainda persiste, mesmo atualizando o aplicativo.
A reportagem questionou novamente o Ministério da Saúde e aguarda o retorno.
Como falha ocorre?
Ao acessar o ConecteSUS, os imunizados podem emitir o "Certificado de Vacinação Covid-19". O documento é composto por um código QR Code, que pode ser escaneado para atestar a sua veracidade.
O problema é que o ConecteSUS valida como verdadeiro qualquer tipo de QR Code, não apenas o gerado pelo próprio aplicativo na emissão do certificado.
Isso abre possibilidade para a falsificação do documento, pois é possível que os não imunizados apresentem passaportes vacinais não originais com qualquer código. E o aplicativo irá validá-lo de toda forma.
No teste feito pela reportagem, usamos o ConecteSUS para ler dois QR Codes. Um gerado pelo WhatsApp Web e outro aleatório de um site de criação de códigos gratuitos.
Em ambos os casos, o aplicativo apresentou a palavra "OK" na leitura, como se realmente fossem códigos de certificados originais de vacinação.
É mais um ataque ou erro de programação?
Para Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), o problema não deve ser resultante de algum tipo de ataque, mas de uma falha de programação do aplicativo.
"Acredito que seja um problema desenvolvimento e testes, sobretudo no mecanismo que responde ao aplicativo e ao resultado do scaner", sugere.
Ele diz que o aplicativo parece validar o QR Code sem consultar a sua base de dados para saber se aquele código realmente é verdadeiro.
"Todo QR Code gera uma informação codificada que, ao ser lida, se descodifica. A partir daí o processo deveria ser de consulta deste código numa base de dados. Com isso, então, deveria haver um retorno sobre o sucesso ou falha da busca. A aplicação parece dar resultado de sucesso sem antes ter consultado na base, mas somente ao ler o QR code", explica.
Pedro Saliba, pesquisador da Associação Data Privacy Brasil, também concorda que que o caso parece envolver um erro de sistema.
"Geralmente os ataques a sistemas da informação por grupos organizados são publicizados, já que isso garante certa honra perante a comunidade", pontua. "Possivelmente é uma falha na programação".
Para Saliba, a descoberta mais uma vez expõe a fragilidade do sistema de segurança da informação do Ministério da Saúde, algo que se tornou recorrente na pandemia.
"O que é importante pontuar é a reiterada insegurança da informação promovida pelo Ministério da Saúde. O ataque que tornou os sistemas indisponíveis em dezembro de 2021 não foi o primeiro: o site foi alterado para expor a fragilidade do sistema em fevereiro de 2021, dados pessoais de pessoas públicas, como Manuela D'Ávila e Átila Iamarino foram alterados, além da exposição dos dados de 243 milhões de pessoas em dezembro de 2020", frisou.
O que fica evidente é uma falta de zelo pelos princípios da segurança da informação: disponibilidade, integralidade, confidencialidade e autenticidade".
Pedro Saliba, Data Privacy Brasil.
O ataque hacker mais recente
O aplicativo ConecteSUS chegou a ficar fora do ar por 13 dias depois do ataque hacker que o Ministério da Saúde sofreu no fim de 2021. A ferramenta retornou em 23 de dezembro, com com instabilidade.
A volta normal com todas as suas funcionalidades, inclusive o comprovante de vacina, ocorreu no dia 27 do mesmo mês.
Em 10 de dezembro, o site do Ministério da Saúde amanheceu com um "defacement" (espécie de pichação virtual): um grupo deixou uma mensagem dizendo que tinha apagado dados e exigindo um pagamento para devolver o sistema.
Após o acesso ilegal, a rede de internet do ministério foi desligada. Os atacantes conseguiram ter acessar o serviço de nuvem usado pela pasta, o AWS (da Amazon), e conseguiram apagar e alterar dados da plataforma do ConecteSUS, segundo informou Tales Faria, colunista e chefe da sucursal de Brasília do UOL.
O caso é investigado pela PF (Polícia Federal) e MPF (Ministério Público Federal).
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.