Em plena pandemia de Covid-19, o site do Ministério da Saúde sofreu um ataque por hackers e foi invadida sem muita dificuldade, como os próprios cibercriminosos relataram.
Ao contrário do que se espera deste tipo de ataque, a intenção do hackear seria apenas alertar o Governo Federal e a população sobre as falhas de segurança digital presente na plataforma do DataSUS.
O alvo do grupo foi a plataforma do DataSUS, responsável pelo processamento de dados do Ministério da Saúde e conhecido por concentrar informações sigilosas de inúmeros CPFs, como endereço, profissão, nome completo etc.
O invasor se autointitulou como “HACKER_SINCERO” e fez críticas à Autoridade Nacional de Proteção de Dados (ANPD), reclamações sobre a equipe de TI do Governo Federal e ainda deixou links disponíveis com documentos vazados.
Porém, vale destacar que não há nenhuma confirmação se de fato apenas uma única pessoa conseguiu invadir e hackear uma das plataformas mais importantes do Ministério da Saúde.
Na ocasião, quem entrava no site do DataSUS era surpreendido com uma mensagem do hacker. Nela, dizia: “O site continua uma b****, nada foi feito, a única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos é quem fez o formulário e não leu os termos. Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá”.
Além disso, o recado continuou e apresentou cinco links para imagens de documentos que traziam dados pessoais censurados. Na sequência, a ameaça do “HACKER_SINCERO” continua: “arrumem este site porco ou na próxima vão vazar os dados dos responsáveis por esta porcaria”
A mensagem continua e traz ainda mais críticas, desta vez ao trabalho da ANPD, responsável pela aplicação da Lei Geral de Proteção de Dados que, em teoria, deve garantir a segurança de dados sigilosos no mundo digital.
“ANPD, como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro!!!”, diz mensagem do “HACKER_SINCERO”.
Por fim, o cibercriminoso sincero ainda menciona algumas siglas que podem indicar problemas encontrados no site do sistema DataSUS, sendo elas RCE, SQLI e XSS.
Ele ainda ironiza e diz que “isto aqui é uma verdadeira CTF”, uma pequena referência às competições em que um número determinado de hackers tentam encontrar e consertar falhas de segurança em menor tempo.
Outras ocasiões que o Min. Saúde sofreu ataque
No Brasil, ataques de ransomware às prefeituras municipais são acontecimentos recorrentes e no caso da esfera Estadual e Federal não é nada diferente. Inclusive, essa não é a primeira vez que o Ministério da Saúde sofreu um ataque de hackers.
Em novembro, ainda no período de pandemia, os hackers invadiram a plataforma DataSUS e fizeram suas primeiras críticas ao sistema.
Entre as críticas daquele primeiro momento, traziam falas como “este site está um lixo!” e “qualquer criança consegue invadir este excremento digital, causar lentidão e até estragos maiores”.
Além disso, a ocasião também trouxe cobranças ao presidente Jair Bolsonaro (sem partido).
“Favor levar a sério os assuntos de segurança da informação. Bolsonaro !, dá um jeito aí !”, disse em recado.
Resposta do Ministério da Saúde ao ataque do “HACKER_SINCERO”
Em resposta ao primeiro ataque que sofreu, o Ministério da Saúde decidiu pela descontinuidade do serviço FormSUS, que permitia o acesso por parte de criminosos.
Porém, o ataque voltou a acontecer e desta vez o comunicado oficial do Ministério da Saúde explica que a plataforma “esteve disponível aos gestores para que pudessem realizar o download dos formulários e já foi retirada do ar permanentemente”.
Por fim, o comunicado também diz que não houve nenhum vazamento de dados sigilosos e que tudo se tratou apenas de um ataque visual, portanto apenas a interface da página foi modificada.
