Caro Visitante, por que não gastar alguns segundos e criar uma Conta no Fórum Valinor? Desta forma, além de não ver este aviso novamente, poderá participar de nossa comunidade, inserir suas opiniões e sugestões, fazendo parte deste que é um maiores Fóruns de Discussão do Brasil! Aproveite e cadastre-se já!
E aqui é SC, né. Temos a nossa governadora Bolsonara, como foi muito bem explicado pelo @dermeisterA mensagem que você postou tem um diferencial: fala sobre as escolas estaduais. Eu trabalho na Rede Municipal, então não sei dizer se o mesmo esquema de "terminar o ano letivo de 2020 em 2021" vai valer para a Rede Estadual.
Eu não sei até que ponto é verdade, mas aqui estamos recebendo mensagens passivas-agressivas da escola, nesse estilo aqui:
De toda forma, lá em casa estou em cima das crianças, fazendo atividade e postando, às vezes passa mais de uma semana que a gente não faz, aí faço aquele monte e posto, vamos levando assim.
O que eu vejo de problema maior é crianças na idade da Rafa, está aprendendo a ler e fora da escola ela não sente interesse nenhum de se esforçar, cada atividade é uma luta. Pra ela, esse foi um ano de férias, ela só está querendo saber de brincar, jogar videogame e assistir. Eu só fico imaginando como vai ser difícil quando tiver que voltar pra escola, já estou com uma psicóloga engatada pra ano que vem porque prevejo complicações grandes.
Estadão disse:Vazamento de senha do Ministério da Saúde expõe dados de 16 milhões de pacientes de covid
Funcionário do Albert Einstein divulgou na internet lista com usuários e senhas que davam acesso aos bancos de dados de testados, diagnosticados e internados; autoridades como Bolsonaro tiveram privacidade violada
Fabiana Cambricoli, O Estado de S.Paulo
26 de novembro de 2020 | 05h00
Ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde.
Entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, estão o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria (PSDB), e mais 16 governadores, além dos presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).
A exposição de dados não foi causada por ataque hacker nem por falha de segurança do sistema. Eles ficaram abertos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid nos 27 Estados. Conforme o Einstein, o hospital tem acesso aos dados porque está trabalhando em um projeto com o ministério.
Com essas senhas, era possível acessar os registros de covid-19 lançados em dois sistemas federais: o E-SUS-VE, no qual são notificados casos suspeitos e confirmados da doença quando o paciente tem quadro leve ou moderado, e o Sivep-Gripe, em que são registradas todas as internações por Síndrome Respiratória Aguda Grave (SRAG), ou seja, os pacientes mais graves.
A exposição dos dados foi descoberta pelo Estadão após uma denúncia recebida pela reportagem com o link para a página onde as senhas dos sistemas estavam disponíveis. A planilha com as informações foi publicada em 28 de outubro no perfil pessoal de Wagner Santos, cientista de dados do Einstein, na plataforma github, usada por programadores para hospedar códigos e arquivos.
A reportagem acessou o sistema para checar a veracidade dos dados. Ao verificar que as senhas eram válidas, buscou registros de autoridades que já haviam divulgado publicamente diagnóstico ou suspeita de covid e confirmou que os dados estavam corretos.
Os bancos de dados do ministério trazem, além das informações pessoais dos pacientes, detalhes considerados confidenciais sobre o histórico clínico, como a existência de doenças ou condições pré-existentes, entre elas diabete, problemas cardíacos, câncer e HIV.
Alguns registros de pacientes internados traziam até informações do prontuário, como quais medicamentos foram administrados durante a hospitalização. No registro de Pazuello, por exemplo, era possível saber em qual andar do Hospital das Forças Armadas ele ficou internado e qual profissional deu baixa em sua internação.
Tanto pacientes da rede pública quanto da privada tiveram seus dados expostos. Isso porque a notificação de casos suspeitos ou confirmados de covid ao Ministério da Saúde é obrigatória a todos os hospitais.
Para o advogado Juliano Madalena, professor de Direito Digital e fundador do fórum direitodigital.io, o vazamento das senhas e exposição dos dados que deveriam ser resguardados pelo poder público é preocupante. De acordo com o especialista, as informações podem ser usadas para fins comerciais por diferentes empresas. “Dados de saúde podem ser usados por empresas do ramo que queiram criar produtos específicos voltados para um público, por empresas de seguro de vida ou planos de saúde de forma indevida, muitas vezes até com aspecto discriminatório, pois você tem as informações sobre o histórico de saúde da pessoa”, diz.
O advogado diz que, considerando a Lei Geral de Proteção de Dados, é dever de quem controla e acessa os dados adotar medidas que evitem vazamentos. Nesse caso, tanto o Einstein e seu funcionário quanto o Ministério da Saúde podem ser responsabilizados por dano coletivo por terem exposto informações de milhões de pessoas. Mesmo quando não agem de forma proposital, responsáveis por vazamento de dados pessoais e sensíveis podem ser obrigados judicialmente a pagar indenizações por dano coletivo.
Ministério da Saúde e Einstein vão investigar responsabilidade
Após serem comunicados pelo Estadão sobre o vazamento das senhas de sistemas federais, o Hospital Albert Einstein e o Ministério da Saúde disseram que as chaves de acesso foram removidas da internet e trocadas nos sistemas, informações confirmadas pela reportagem. Afirmaram ainda que uma investigação interna será aberta pelo Einstein para apurar as responsabilidades.
O Einstein afirmou que foi comunicado somente na tarde de ontem, após contato da reportagem, que “um colaborador teria arquivado informações de acesso a determinados sistemas sem a proteção adequada”. O hospital diz ter comunicado o Ministério da Saúde para que “fossem tomadas as medidas para assegurar a proteção das referidas informações”.
O Einstein afirmou ainda que todos os seus funcionários passam por treinamento de segurança digital e que “tomará as medidas administrativas cabíveis”. Questionado sobre o tipo de serviço que prestava para o ministério, o hospital informou que trata-se de um projeto do Programa de Apoio ao Desenvolvimento Institucional do Sistema Único de Saúde (Proadi-SUS) em que dados epidemiológicos eram usados para fazer análise preditiva da pandemia.
A reportagem questionou a instituição o motivo de ela ter acesso aos dados pessoais e não apenas informações sem identificação e foi informada que o banco de dados não fica disponível para o Einstein e somente ao funcionário do hospital que ficava baseado no próprio Ministério da Saúde.
Já o órgão federal confirmou a parceria e disse que realizou reunião com o Einstein para esclarecimento dos fatos. Disse que o profissional Wagner Santos, que publicou as senhas, é contratado pelo Einstein e atua no ministério desde setembro como cientista de dados. “No âmbito das medidas de segurança do ministério e em atendimento aos protocolos de compliance e confidencialidade, ele assinou termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica”, disse a pasta federal.
De acordo com o ministério, o Einstein confirmou que houve falha humana de um dos seus colaboradores - e não do sistema e informou que iniciou processo de apuração dos fatos. O órgão disse que está realizando “o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados”.
A pasta disse também que o Departamento de Informática do SUS (DataSUS) revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha divulgada pelo funcionário do Einstein. “O Ministério da Saúde ressalta que todos os técnicos que têm acesso aos seus sistemas de informação assinam termo de responsabilidade para uso das informações e todos estão cientes de que a divulgação de informações pessoais está sujeita a sanções penais e administrativas.”
Também procurado pela reportagem, o funcionário Wagner Santos, do Einstein, confirmou que publicou a planilha de senhas em seu perfil na plataforma github para a realização de um teste na implementação de um modelo, porém esqueceu de remover o arquivo da página pública.
Obrigada pela explicação para os leigos.Quem é da área já sacou que isso só pode ser resultado de uma falta de profissionalismo extrema, numa explicação imperfeita para quem não é, basicamente o site dava o acesso a todo o banco de dados para qualquer visitante, sem precisar de autenticação nenhuma.
[2].cada dia eu gosto mais e mais do cheiro de álcool... não só é o nosso adorável álcool que destrói o vírus, mas também significa que eu ainda estou sentido cheiros
ó lá, @dermeister, lambança de novo. mas dessa vez foi pior. basicamente todo mundo exposto? pq o texto fala em cadastrados no SUS e beneficiários de plano de saúde.
Nova falha do Ministério da Saúde expõe dados pessoais de mais de 200 milhões de brasileiros
DECEMBER 02, 2020
Uma nova falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. Não foram apenas pacientes com diagnóstico de covid que tiveram sua privacidade violada, como ocorreu em outro caso de exposição denunciado pelo Estadão na semana passada. Desta vez, ficaram abertas para consulta as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde.
Segundo investigação feita pelo Estadão, foram expostos cerca de 243 milhões de registros de pacientes, nos quais constavam informações como número do CPF, nome completo, endereço e telefone. O total de registros é maior que o número de habitantes do País (210 milhões) porque há informações de pessoas que já morreram.
Entre os brasileiros que tiveram a privacidade violada estão os chefes dos três poderes: o presidente Jair Bolsonaro, o deputado federal Rodrigo Maia, o senador Davi Alcolumbre, além do presidente do Supremo Tribunal Federal, ministro Luiz Fux. No caso dos presidentes da Câmara e do Senado, nem um status de “VIP” na base de dados impediu que suas informações pessoais fossem violadas.
Mais uma vez, o problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.
Essas credenciais de acesso estavam em um trecho do código do site que fica aberto para visualização de qualquer usuário por meio da função “inspecionar elemento”, disponível em qualquer navegador. Uma pessoa com conhecimentos básicos de desenvolvimento de sites conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.
O login e a senha de acesso estavam codificados por meio de um método conhecido como base64, facilmente decodificável por meio de ferramentas online. “O Base64 é um método de codificação de dados e não de segurança de dados. Não é uma forma de criptografar dados. Ou seja, os dados de nomes de usuário e senhas nesse caso estavam, sim, expostos”, explica o cientista da computação Daniel Fireman, professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas.
A falha na exposição de login e senha é similar à reportada ao ministério em junho pela ONG Open Knowledge Brasil (OKBR). Na época, a organização identificou que login e senha para um banco de dados de pacientes com covid também estavam expostos no meio do código do site.
Após a denúncia da OKBR, o ministério corrigiu o erro apontado pela entidade, mas não revisou outras possíveis falhas no código. O problema identificado agora pelo Estadão na exposição de senha de outro sistema já existia no início de junho, quando a denúncia foi feita, conforme documento registrado em cartório pela OKBR.
“Cada vez que você para e vai analisar a segurança da informação e a política de gestão de dados do Ministério da Saúde, você encontra uma vulnerabilidade mais grave. Na época da denúncia que fizemos, pedimos uma auditoria e não recebemos nenhuma resposta. Claramente eles não levaram e não estão levando a sério ainda o tratamento de dados dos milhões de brasileiros”, diz Fernanda Campagnucci, diretora executiva da OKBR.
O sistema e-SUS-Notifica, que teve ao menos duas falhas de segurança reportadas até agora, foi desenvolvido pela empresa de tecnologia Zello (antiga MBA Mobi), contratada pelo Ministério da Saúde para desenvolver esse e outros softwares para a pasta. O ministério não informou quanto pagou à companhia pelo serviço, mas, segundo dados do Portal da Transparência consultados pelo Estadão, a empresa já recebeu do governo mais de R$ 43 milhões desde 2017.]
Independentemente de quem foi o erro que deixou login e senha expostos, o Ministério da Saúde pode ser responsabilizado por dano individual ou coletivo e ser condenado a pagar indenizações. “Pela Lei Geral de Proteção de Dados, quem é controlador da base de dados tem responsabilidades inclusive no que diz respeito à segurança dessas bases. Deixar que qualquer um tenha acesso a senhas de acesso a bases de dados é um erro de segurança básico”, diz Joana Varon, fundadora e diretora da organização Coding Rights.
Questionado sobre a falha de segurança e a exposição dos dados de mais de 200 milhões de pessoas, o Ministério da Saúde informou que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério”. O problema identificado já foi corrigido após alerta do Estadão.
Disse ainda que “possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições”, mas não explicou por que não houve a revisão do código do sistema em junho, quando foi feita a primeira denúncia sobre o problema. De acordo com o ministério, “ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido”.
O ministério foi questionado também sobre o motivo de ter contratado uma empresa privada para desenvolver o sistema de notificações de casos de covid-19, dado que a pasta possui um departamento de tecnologia (Datasus). O órgão justificou que “a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização” e que os serviços são acompanhados e fiscalizados “por servidores da casa”. O ministério disse ainda que “agradece o empenho da sociedade em identificar problemas ou vulnerabilidades”.
A empresa Zello, contratada para desenvolver o sistema e-SUS-Notifica, também foi procurada pelo Estadão, mas não se pronunciou até as 21h desta terça-feira, 1º.
Ninguém vai ser preso não, hein?