-
Caro Visitante, por que não gastar alguns segundos e criar uma Conta no Fórum Valinor? Desta forma, além de não ver este aviso novamente, poderá participar de nossa comunidade, inserir suas opiniões e sugestões, fazendo parte deste que é um maiores Fóruns de Discussão do Brasil! Aproveite e cadastre-se já!
Novo Coronavírus (COVID-19)
- Criador do tópico Neoghoster Akira
- Data de Criação
Erendis
Master Pretender
E aqui é SC, né. Temos a nossa governadora Bolsonara, como foi muito bem explicado pelo @dermeister
Prevejo uma chuva de processos judicias em SC... 
Ana Lovejoy
Administrador
o problema é que o conselho nacional de educação só recomendou a não reprovação, então a decisão no fim das contas é de cada regional mesmo. mas esse tipo de mensagem aí entra em outro ponto, heim. completa falta de noção da escola, comunicação com tom de corrente de whatsapp, com ameaça de reprovação, etc, valha-me.
***
aqui em casa arthur tirou de letra, mas porque a turma dele é um negócio fora da curva. ele por conta desenvolveu rotina para as atividades, não falta nenhum meet (mas volta e meia liga vídeo no youtube pra ver enquanto a professora está falando, cansei de abrir porta do quarto e pegá-lo no flagra). enfim, o pior mesmo é que ele parece ter se afastado dos livros, ele gostava muito de ler, esse ano com muito esforço deve ter lido uns dois livros.
já o guto são outros quinhentos. ele está no pré 3, uma espécie de limbo do nosso sistema educacional porque não é nem pré mesmo mas teoricamente não pode começar a alfabetizar ainda. a gente vê a professora se desdobrando para elaborar atividades, mas nessa idade o meet é uma ferramenta bem complicada - as crianças ligam microfone quando bem entendem, não respeitam a vez do coleguinha falar, entram atrasados, entram sem um responsável por perto para orientar, etc. enfim, bem problemático.
dermeister
Ent cara-de-pau
Surpresa do dia: vazaram uma credencial que dá (dava) acesso ao sistema de notificação do Ministério da Saúde e os dados de todas as pessoas testadas para COVID ficaram expostos. Quando não é malícia, é trapalhada mesmo e olha que eu estou sendo sutil em chamar isso de "trapalhada" porque a causa do vazamento foi uma senha salva num repositório Git e publicada no Github.
Enquanto a imprensa está esviscerando o sujeito que vazou a senha, e logo os responsáveis pela manutenção do sistema farão o mesmo já que é um baita bode expiatório, eu vejo um problema muito maior que é um sistema crítico destes não ter um controle de acesso granular e uma autenticação mais robusta.
Só coisa óbvia como limitar o acesso por região, nível, somente dados agregados, usar uma visão que não inclui nomes e outros dados pessoais, exigir um nível específico para ter acesso geral, permissões bem especificadas para acessos via API, etc. e usar um segundo fator de autenticação para dificultar o comprometimento ou compartilhamento de senhas -- e que pode funcionar junto com essa divisão de papéis, por exemplo, usuários com acesso um pouco mais elevado precisam de um TOTP por software (é fácil de implementar, não cria um gargalo nem precisa de tokens de hardware dedicado e ajuda bastante contra comprometimentos acidentais, mas o usuário ainda pode copiar as chaves propositalmente), níveis sensíveis precisam de U2F ou de um token em hardware TOTP emitido de forma controlada, etc. E chaves de API, claro, só podem ser geradas com um processo cuidadoso e bem documentado de autenticação e só podem dar acesso a um subconjunto predefinido de dados.
Não é questão de tratar o usuário como inimigo (se bem que alguns merecem, né?
), mas aceitar que humanos geralmente são o ponto mais fraco do sistema e criar mecanismos para dificultar falhas ou reduzir danos.
Detalhes nessa matéria do Estado de S. Paulo:
Fonte: https://saude.estadao.com.br/notici...-16-milhoes-de-pacientes-de-covid,70003528583
Mirror: https://archive.is/iTeLd
Enquanto a imprensa está esviscerando o sujeito que vazou a senha, e logo os responsáveis pela manutenção do sistema farão o mesmo já que é um baita bode expiatório, eu vejo um problema muito maior que é um sistema crítico destes não ter um controle de acesso granular e uma autenticação mais robusta.
Só coisa óbvia como limitar o acesso por região, nível, somente dados agregados, usar uma visão que não inclui nomes e outros dados pessoais, exigir um nível específico para ter acesso geral, permissões bem especificadas para acessos via API, etc. e usar um segundo fator de autenticação para dificultar o comprometimento ou compartilhamento de senhas -- e que pode funcionar junto com essa divisão de papéis, por exemplo, usuários com acesso um pouco mais elevado precisam de um TOTP por software (é fácil de implementar, não cria um gargalo nem precisa de tokens de hardware dedicado e ajuda bastante contra comprometimentos acidentais, mas o usuário ainda pode copiar as chaves propositalmente), níveis sensíveis precisam de U2F ou de um token em hardware TOTP emitido de forma controlada, etc. E chaves de API, claro, só podem ser geradas com um processo cuidadoso e bem documentado de autenticação e só podem dar acesso a um subconjunto predefinido de dados.
Não é questão de tratar o usuário como inimigo (se bem que alguns merecem, né?
), mas aceitar que humanos geralmente são o ponto mais fraco do sistema e criar mecanismos para dificultar falhas ou reduzir danos.Detalhes nessa matéria do Estado de S. Paulo:
Estadão disse:
Fonte: https://saude.estadao.com.br/notici...-16-milhoes-de-pacientes-de-covid,70003528583
Mirror: https://archive.is/iTeLd
Última edição:
Não entendi nada do que você falou, mas fiquei impressionado com o amadorismo do atual sistema.
Quando eu for presidente, te arranjo um carguinho lá na segurança de dados.
Quando eu for presidente, te arranjo um carguinho lá na segurança de dados.
dermeister
Ent cara-de-pau
Ainda sobre a história das falhas no sistema do Ministério da Saúde, o Open Knowledge Brasil já tinha encontrado uma falha bem bizarra em junho, quando investigavam os sites sobre o acesso aos dados de casos diários e totais que o ministério tinha limitado na época... de fato encontraram uma forma de acessá-los, mas não da forma útil para a sociedade que a gente esperava.
O nível da falha: uma chave de acesso aos buckets do S3 publicada deixada pública no site (acessível pelo Javascript enviado aos usuários). Quem é da área já sacou que isso só pode ser resultado de uma falta de profissionalismo extrema, numa explicação imperfeita para quem não é, basicamente o site dava o acesso a todo o banco de dados para qualquer visitante, sem precisar de autenticação nenhuma. Eu chuto que tenham feito isso para poupar processamento nos servidores que rodam o sistema, mas é difícil imaginar alguém se preocupando com isso sem perceber o que estava fazendo.
A outra parte da história é mais doida ainda e eles descrevem com detalhes num post no site (mirror) mas, resumidamente, eles notificaram os responsáveis da falha e cobraram as providências e investigações devidas, só para ter a denúncia arquivada. Até tomaram o cuidado de reproduzir a chave numa ata notarial que, ao contrário de um screenshot simples, tem valor jurídico (mas caramba, como esse serviço é caro aí em SP!). Tem um link para as solicitações que eles mandaram para a CGU lá também, com as respostas cheias de desculpas, mas como a URL original é bem bizarra e tem toda cara de ser daquelas que vão quebrar na próxima atualização do sistema, é melhor ver pelo mirror mesmo.
Como eu não acompanhava o trabalho deles, só acabei descobrindo a história através dessa outra notícia do Estadão (mirror), mas o post aí vale a leitura.
___________________________
Num aviso aleatório para quem não é de SC, e até para completar aquela minha nota de rodapé gigante de uns posts atrás
, nosso governador foi absolvido no processo de impeachment (mirror) e reconduzido imediatamente ao cargo. Já teve aquela chacoalhadinha tradicional (mirror) nos cargos de confiança, mas ainda não vi nada especialmente relevante sobre mudanças nas políticas de combate à pandemia.
E num comentário mais aleatório ainda, cada dia eu gosto mais e mais do cheiro de álcool... não só é o nosso adorável álcool que destrói o vírus, mas também significa que eu ainda estou sentido cheiros
O nível da falha: uma chave de acesso aos buckets do S3 publicada deixada pública no site (acessível pelo Javascript enviado aos usuários). Quem é da área já sacou que isso só pode ser resultado de uma falta de profissionalismo extrema, numa explicação imperfeita para quem não é, basicamente o site dava o acesso a todo o banco de dados para qualquer visitante, sem precisar de autenticação nenhuma. Eu chuto que tenham feito isso para poupar processamento nos servidores que rodam o sistema, mas é difícil imaginar alguém se preocupando com isso sem perceber o que estava fazendo.
A outra parte da história é mais doida ainda e eles descrevem com detalhes num post no site (mirror) mas, resumidamente, eles notificaram os responsáveis da falha e cobraram as providências e investigações devidas, só para ter a denúncia arquivada. Até tomaram o cuidado de reproduzir a chave numa ata notarial que, ao contrário de um screenshot simples, tem valor jurídico (mas caramba, como esse serviço é caro aí em SP!). Tem um link para as solicitações que eles mandaram para a CGU lá também, com as respostas cheias de desculpas, mas como a URL original é bem bizarra e tem toda cara de ser daquelas que vão quebrar na próxima atualização do sistema, é melhor ver pelo mirror mesmo.
Como eu não acompanhava o trabalho deles, só acabei descobrindo a história através dessa outra notícia do Estadão (mirror), mas o post aí vale a leitura.
___________________________
Num aviso aleatório para quem não é de SC, e até para completar aquela minha nota de rodapé gigante de uns posts atrás
, nosso governador foi absolvido no processo de impeachment (mirror) e reconduzido imediatamente ao cargo. Já teve aquela chacoalhadinha tradicional (mirror) nos cargos de confiança, mas ainda não vi nada especialmente relevante sobre mudanças nas políticas de combate à pandemia.E num comentário mais aleatório ainda, cada dia eu gosto mais e mais do cheiro de álcool... não só é o nosso adorável álcool que destrói o vírus, mas também significa que eu ainda estou sentido cheiros
Melian
Período composto por insubordinação.
Obrigada pela explicação para os leigos.
[2].cada dia eu gosto mais e mais do cheiro de álcool... não só é o nosso adorável álcool que destrói o vírus, mas também significa que eu ainda estou sentido cheiros
Fúria da cidade
ㅤㅤ ㅤㅤ ㅤㅤ
Documentos mostram que China escondeu casos de Covid no início da crise sanitária, diz CNN
Relatórios apontam falta de equipamentos e lentidão no monitoramento das infecções
www1.folha.uol.com.br
Malditos comunistas: infiltraram-se no governo americano para livrar a cara da China nessa pandemia... 
"Agora, quase um ano depois, pesquisadores ligados ao governo americano identificaram retroativamente que 39 pessoas de três Estados do país já tinham desenvolvido anticorpos contra coronavírus duas semanas antes do alerta na China. Os EUA, inclusive, só identificaram oficialmente o primeiro caso no país em 21 de janeiro de 2020."
www.terra.com.br
"Agora, quase um ano depois, pesquisadores ligados ao governo americano identificaram retroativamente que 39 pessoas de três Estados do país já tinham desenvolvido anticorpos contra coronavírus duas semanas antes do alerta na China. Os EUA, inclusive, só identificaram oficialmente o primeiro caso no país em 21 de janeiro de 2020."
Covid-19: o estudo americano que aumenta dúvidas sobre real origem da pandemia
O que se sabe até agora é que o primeiro grande surto surgiu em Wuhan dezembro de 2019, mas diversos indícios apontam que o vírus já circulava pelo mundo semanas ou meses antes do início oficial da pandemia.
Fúria da cidade
ㅤㅤ ㅤㅤ ㅤㅤ
Jamil Chade - Reino Unido é primeira nação no Ocidente a autorizar vacina contra covid-19
O governo do Reino Unido autorizou a vacinação contra a covid-19, e as autoridades indicam que doses fabricadas pela Pfizer e a BioNTech poderão ser aplicadas.
Ana Lovejoy
Administrador
ó lá, @dermeister, lambança de novo. mas dessa vez foi pior. basicamente todo mundo exposto? pq o texto fala em cadastrados no SUS e beneficiários de plano de saúde.
Uma nova falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. Não foram apenas pacientes com diagnóstico de covid que tiveram sua privacidade violada, como ocorreu em outro caso de exposição denunciado pelo Estadão na semana passada. Desta vez, ficaram abertas para consulta as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde.
Segundo investigação feita pelo Estadão, foram expostos cerca de 243 milhões de registros de pacientes, nos quais constavam informações como número do CPF, nome completo, endereço e telefone. O total de registros é maior que o número de habitantes do País (210 milhões) porque há informações de pessoas que já morreram.
Entre os brasileiros que tiveram a privacidade violada estão os chefes dos três poderes: o presidente Jair Bolsonaro, o deputado federal Rodrigo Maia, o senador Davi Alcolumbre, além do presidente do Supremo Tribunal Federal, ministro Luiz Fux. No caso dos presidentes da Câmara e do Senado, nem um status de “VIP” na base de dados impediu que suas informações pessoais fossem violadas.
Mais uma vez, o problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.
Essas credenciais de acesso estavam em um trecho do código do site que fica aberto para visualização de qualquer usuário por meio da função “inspecionar elemento”, disponível em qualquer navegador. Uma pessoa com conhecimentos básicos de desenvolvimento de sites conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.
O login e a senha de acesso estavam codificados por meio de um método conhecido como base64, facilmente decodificável por meio de ferramentas online. “O Base64 é um método de codificação de dados e não de segurança de dados. Não é uma forma de criptografar dados. Ou seja, os dados de nomes de usuário e senhas nesse caso estavam, sim, expostos”, explica o cientista da computação Daniel Fireman, professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas.
A falha na exposição de login e senha é similar à reportada ao ministério em junho pela ONG Open Knowledge Brasil (OKBR). Na época, a organização identificou que login e senha para um banco de dados de pacientes com covid também estavam expostos no meio do código do site.
Após a denúncia da OKBR, o ministério corrigiu o erro apontado pela entidade, mas não revisou outras possíveis falhas no código. O problema identificado agora pelo Estadão na exposição de senha de outro sistema já existia no início de junho, quando a denúncia foi feita, conforme documento registrado em cartório pela OKBR.
“Cada vez que você para e vai analisar a segurança da informação e a política de gestão de dados do Ministério da Saúde, você encontra uma vulnerabilidade mais grave. Na época da denúncia que fizemos, pedimos uma auditoria e não recebemos nenhuma resposta. Claramente eles não levaram e não estão levando a sério ainda o tratamento de dados dos milhões de brasileiros”, diz Fernanda Campagnucci, diretora executiva da OKBR.
O sistema e-SUS-Notifica, que teve ao menos duas falhas de segurança reportadas até agora, foi desenvolvido pela empresa de tecnologia Zello (antiga MBA Mobi), contratada pelo Ministério da Saúde para desenvolver esse e outros softwares para a pasta. O ministério não informou quanto pagou à companhia pelo serviço, mas, segundo dados do Portal da Transparência consultados pelo Estadão, a empresa já recebeu do governo mais de R$ 43 milhões desde 2017.]
Independentemente de quem foi o erro que deixou login e senha expostos, o Ministério da Saúde pode ser responsabilizado por dano individual ou coletivo e ser condenado a pagar indenizações. “Pela Lei Geral de Proteção de Dados, quem é controlador da base de dados tem responsabilidades inclusive no que diz respeito à segurança dessas bases. Deixar que qualquer um tenha acesso a senhas de acesso a bases de dados é um erro de segurança básico”, diz Joana Varon, fundadora e diretora da organização Coding Rights.
Questionado sobre a falha de segurança e a exposição dos dados de mais de 200 milhões de pessoas, o Ministério da Saúde informou que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério”. O problema identificado já foi corrigido após alerta do Estadão.
Disse ainda que “possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições”, mas não explicou por que não houve a revisão do código do sistema em junho, quando foi feita a primeira denúncia sobre o problema. De acordo com o ministério, “ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido”.
O ministério foi questionado também sobre o motivo de ter contratado uma empresa privada para desenvolver o sistema de notificações de casos de covid-19, dado que a pasta possui um departamento de tecnologia (Datasus). O órgão justificou que “a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização” e que os serviços são acompanhados e fiscalizados “por servidores da casa”. O ministério disse ainda que “agradece o empenho da sociedade em identificar problemas ou vulnerabilidades”.
A empresa Zello, contratada para desenvolver o sistema e-SUS-Notifica, também foi procurada pelo Estadão, mas não se pronunciou até as 21h desta terça-feira, 1º.
Nova falha do Ministério da Saúde expõe dados pessoais de mais de 200 milhões de brasileiros
DECEMBER 02, 2020Uma nova falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. Não foram apenas pacientes com diagnóstico de covid que tiveram sua privacidade violada, como ocorreu em outro caso de exposição denunciado pelo Estadão na semana passada. Desta vez, ficaram abertas para consulta as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde.
Segundo investigação feita pelo Estadão, foram expostos cerca de 243 milhões de registros de pacientes, nos quais constavam informações como número do CPF, nome completo, endereço e telefone. O total de registros é maior que o número de habitantes do País (210 milhões) porque há informações de pessoas que já morreram.
Entre os brasileiros que tiveram a privacidade violada estão os chefes dos três poderes: o presidente Jair Bolsonaro, o deputado federal Rodrigo Maia, o senador Davi Alcolumbre, além do presidente do Supremo Tribunal Federal, ministro Luiz Fux. No caso dos presidentes da Câmara e do Senado, nem um status de “VIP” na base de dados impediu que suas informações pessoais fossem violadas.
Mais uma vez, o problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.
Essas credenciais de acesso estavam em um trecho do código do site que fica aberto para visualização de qualquer usuário por meio da função “inspecionar elemento”, disponível em qualquer navegador. Uma pessoa com conhecimentos básicos de desenvolvimento de sites conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.
O login e a senha de acesso estavam codificados por meio de um método conhecido como base64, facilmente decodificável por meio de ferramentas online. “O Base64 é um método de codificação de dados e não de segurança de dados. Não é uma forma de criptografar dados. Ou seja, os dados de nomes de usuário e senhas nesse caso estavam, sim, expostos”, explica o cientista da computação Daniel Fireman, professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas.
A falha na exposição de login e senha é similar à reportada ao ministério em junho pela ONG Open Knowledge Brasil (OKBR). Na época, a organização identificou que login e senha para um banco de dados de pacientes com covid também estavam expostos no meio do código do site.
Após a denúncia da OKBR, o ministério corrigiu o erro apontado pela entidade, mas não revisou outras possíveis falhas no código. O problema identificado agora pelo Estadão na exposição de senha de outro sistema já existia no início de junho, quando a denúncia foi feita, conforme documento registrado em cartório pela OKBR.
“Cada vez que você para e vai analisar a segurança da informação e a política de gestão de dados do Ministério da Saúde, você encontra uma vulnerabilidade mais grave. Na época da denúncia que fizemos, pedimos uma auditoria e não recebemos nenhuma resposta. Claramente eles não levaram e não estão levando a sério ainda o tratamento de dados dos milhões de brasileiros”, diz Fernanda Campagnucci, diretora executiva da OKBR.
O sistema e-SUS-Notifica, que teve ao menos duas falhas de segurança reportadas até agora, foi desenvolvido pela empresa de tecnologia Zello (antiga MBA Mobi), contratada pelo Ministério da Saúde para desenvolver esse e outros softwares para a pasta. O ministério não informou quanto pagou à companhia pelo serviço, mas, segundo dados do Portal da Transparência consultados pelo Estadão, a empresa já recebeu do governo mais de R$ 43 milhões desde 2017.]
Independentemente de quem foi o erro que deixou login e senha expostos, o Ministério da Saúde pode ser responsabilizado por dano individual ou coletivo e ser condenado a pagar indenizações. “Pela Lei Geral de Proteção de Dados, quem é controlador da base de dados tem responsabilidades inclusive no que diz respeito à segurança dessas bases. Deixar que qualquer um tenha acesso a senhas de acesso a bases de dados é um erro de segurança básico”, diz Joana Varon, fundadora e diretora da organização Coding Rights.
Questionado sobre a falha de segurança e a exposição dos dados de mais de 200 milhões de pessoas, o Ministério da Saúde informou que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério”. O problema identificado já foi corrigido após alerta do Estadão.
Disse ainda que “possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições”, mas não explicou por que não houve a revisão do código do sistema em junho, quando foi feita a primeira denúncia sobre o problema. De acordo com o ministério, “ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido”.
O ministério foi questionado também sobre o motivo de ter contratado uma empresa privada para desenvolver o sistema de notificações de casos de covid-19, dado que a pasta possui um departamento de tecnologia (Datasus). O órgão justificou que “a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização” e que os serviços são acompanhados e fiscalizados “por servidores da casa”. O ministério disse ainda que “agradece o empenho da sociedade em identificar problemas ou vulnerabilidades”.
A empresa Zello, contratada para desenvolver o sistema e-SUS-Notifica, também foi procurada pelo Estadão, mas não se pronunciou até as 21h desta terça-feira, 1º.
dermeister
Ent cara-de-pau
Putz, é um padrão se repetindo ... e com exatamente a mesma vulnerabilidade, dessa vez até parece que o responsável sabia que as chaves não deveriam ser expostas (já que disfaçou usando base64), mas mesmo assim tacou o dane-se e seguiu em frente deixando tudo público. Ou vai que disfarçaram depois da denúncia do OKBR para fingir que corrigiram o problema ("viu? Tá ~criptografado~").
Ninguém vai ser preso não, hein? 
Óia aí:
Reino Unido começa a vacinar em massa semana que vem...
g1.globo.com
Em outras notícias...
Uma piadinha pra descontrair:
Tirado de algum perfil bolsonarista
Óia aí:
Reino Unido começa a vacinar em massa semana que vem...
Reino Unido aprova vacina da Pfizer e BioNTech e anuncia que iniciará aplicação na próxima semana
Anúncio foi feito pelo ministro da Saúde britânico, Matt Hancock. Plano de vacinação brasileiro não prevê uso de imunizantes que exijam baixíssimas temperaturas de armazenamento, como é o caso do da Pfizer.
g1.globo.com
Em outras notícias...
Uma piadinha pra descontrair:
Tirado de algum perfil bolsonarista
Última edição:
Ana Lovejoy
Administrador
Ninguém vai ser preso não, hein?
então, pelo menos processo pela exposição de dados esse caso aí deveria render, não?
inclusive bem bizarro contratar empresa privada quando tinha órgão dentro do governo capaz de prestar o mesmo serviço. de quem é a empresa?
Tópicos similares
