Ministério da Saúde foi alertado sobre brechas no sistema em junho

A exposição de dados de 16 milhões de pessoas com suspeita ou confirmação de Covid-19, revelado na quinta-feira (26) pelo Estadão, não foi o único episódio em que informações pessoais e médicas de pacientes ficaram abertas nas redes. Em junho, a organização não governamental  OKBR (Open Knowledge Brasil) identificou uma vulnerabilidade no acesso ao sistema de notificação de casos do Ministério da Saúde que também tornava possível o acesso aos dados de pacientes submetidos a testes da doença.

A falha foi comunicada ao ministério pela OKBR por meio da ouvidoria do governo federal no dia 7 de junho. Na denúncia, à qual o Estadão teve acesso, a entidade relata que o problema estava na exposição indevida de login e senha para acesso a uma pasta compartilhada onde estavam relatórios com dados do sistema e-SUS Notifica, que recebe notificações de casos leves e moderados de Covid-19, suspeitos ou confirmados, de hospitais públicos e privados.

Nos registros de pacientes, constam dados pessoais como CPF, nome completo, endereço, telefone e informações clínicas, como doenças preexistentes. As senhas para acesso dessa pasta estavam em um trecho do código de programação do site que fica aberto para consulta de qualquer usuário. Ao acessar a página de login do sistema e-SUS Notifica, essa consulta do código (e consequentemente da senha) podia ser feita de forma simples por meio da função "inspecionar elemento", disponível em qualquer navegador.