O Instituto de Defesa do Consumidor (Idec) protocolou anteontem uma representação, solicitando ao Ministério Público Federal (MPF) a abertura de inquérito para investigar eventuais falhas de segurança digital que levaram à exposição de dados de ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19, conforme revelou o Estadão. Os dados ficaram expostos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas. Segundo o Einstein, o hospital tem acesso aos dados porque está trabalhando em um projeto com o Ministério da Saúde.
No documento encaminhado ao MPF, o Idec destaca que o incidente surpreende pela ausência de cuidados básicos relacionados à segurança das informações. "Primeiramente, chama a atenção o fato de existir uma tabela com todos os logins, usuários e senhas de funcionários autorizados para operar um banco de dados sensíveis com milhões de brasileiros. Senhas, conforme qualquer especialista em segurança da informação, não devem ser deixadas escritas. Ou seja, já se trata de antemão de uma negligência dos responsáveis deixar isso exposto a qualquer funcionário", ressaltou a entidade.
O Idec aponta ainda que, além de cuidados com as senhas, deveriam ter sido adotadas regras básicas para impedir o acesso de terceiros aos bancos de dados. "A autenticação em dois fatores tem sido utilizada já em larga escala, mesmo para acesso a aplicações básicas como e-mail. Com isso, seria possível evitar que um terceiro tivesse acesso a esse banco de dados sem que antes sua identidade fosse checada pelo sistema. Trata-se, mais uma vez, de um recurso de segurança simples, cuja ausência evidencia a falta de cuidados e prudência relacionada ao tratamento dessas informações", diz o órgão.
Na representação protocolada, o Idec afirma ainda que "não há dúvida sobre o caráter sensível das informações, posto que milhões de pessoas tiveram dados relacionados ao seu estado atual de saúde, condições e doenças preexistentes divulgadas" e destaca que "a notória exposição desses dados já deixa os cidadãos sob uma situação grave de hipervulnerabilidade". O Idec pede ações do Einstein e do Ministério da Saúde.
TCU
Também com base na revelação feita pelo Estadão, o deputado federal e ex-ministro da Saúde Alexandre Padilha acionou o Tribunal de Contas da União (TCU) para pedir a abertura de um procedimento de análise sobre o caso para averiguação de informações referentes às políticas de segurança digital do ministério e ao contrato do órgão com o Einstein. "Uma coisa é ter uma falha humana. Outra é não ter protocolos de segurança. É uma vulnerabilidade gravíssima", disse à reportagem.
As informações são do jornal O Estado de S. Paulo.
