Idec pede ao MPF que apure vazamento de dados de saúde
Entre as pessoas que tiveram a privacidade violada, estão o presidente Jair Bolsonaro e familiares, além de ministros do governo
atualizado
Compartilhar notícia
O Instituto de Defesa do Consumidor (Idec) protocolou uma representação solicitando ao Ministério Público Federal (MPF) a abertura de inquérito para investigar eventuais falhas de segurança digital que levaram à exposição de dados de ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19.
Os dados ficaram expostos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas. Segundo o Einstein, o hospital tem acesso aos dados porque está trabalhando em um projeto com o Ministério da Saúde.
No documento encaminhado ao MPF, o Idec destaca que o incidente surpreende pela ausência de cuidados básicos relacionados à segurança das informações.
“Primeiramente, chama a atenção o fato de existir uma tabela com todos os logins, usuários e senhas de funcionários autorizados para operar um banco de dados sensíveis com milhões de brasileiros. Senhas, conforme qualquer especialista em segurança da informação, não devem ser deixadas escritas. Ou seja, já se trata de antemão de uma negligência dos responsáveis deixar isso exposto a qualquer funcionário”, ressaltou a entidade.
Entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, estão o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria (PSDB), e mais 16 governadores, além dos presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).
O Idec aponta ainda que, além de cuidados com as senhas, deveriam ter sido adotadas regras básicas para impedir o acesso de terceiros aos bancos de dados.
“A autenticação em dois fatores tem sido utilizada já em larga escala, mesmo para acesso a aplicações básicas como e-mail. Com isso, seria possível evitar que um terceiro tivesse acesso a esse banco de dados sem que antes sua identidade fosse checada pelo sistema. Trata-se, mais uma vez, de um recurso de segurança simples, cuja ausência evidencia a falta de cuidados e prudência relacionada ao tratamento dessas informações”, diz o órgão.
Na representação protocolada, o Idec afirma ainda que “não há dúvida sobre o caráter sensível das informações, posto que milhões de pessoas tiveram dados relacionados ao seu estado atual de saúde, condições e doenças preexistentes divulgadas” e destaca que “a notória exposição desses dados já deixa os cidadãos sob uma situação grave de hipervulnerabilidade”. O Idec pede ações do Einstein e do Ministério da Saúde.
TCU
Também com base nas revelações feitas pelo jornal O Estado de São Paulo, o deputado federal e ex-ministro da Saúde Alexandre Padilha acionou o Tribunal de Contas da União (TCU) para pedir a abertura de um procedimento de análise sobre o caso para averiguação de informações referentes às políticas de segurança digital do ministério e ao contrato do órgão com o Einstein.
“Uma coisa é ter uma falha humana. Outra é não ter protocolos de segurança. É uma vulnerabilidade gravíssima”, disse à reportagem
