Credencial do MS exposta na web acessava 243 milhões de registros

O jornal O Estado de S. Paulo publicou hoje uma notícia informando a existência de uma falha no e-SUS-Notifica, o sistema de notificações de covid-19, que deixava expostos 243 milhões de registros contendo dados pessoais como nome completo, endereço, CPF e telefone. A falha era a existência das credenciais de acesso contidas no próprio código fonte da parte “cliente” do sistema (aberta para a internet), ou seja, a interface do usuário.

O código pode ser visualizado em qualquer navegador. As credenciais estavam codificadas em Base64 – o que não chega a ser um problema de leitura ou decodificação para os especialistas.

Segundo as informações obtidas pelo jornal, o sistema foi desenvolvido pela empresa Zello, antiga MBA Mobi segundo a publicação, e a falha estava ocorrendo há pelo menos seis meses. A MBA Mobi tem em seu portfólio sistemas desenvolvidos para o Ministério da Educação, Ministério da Saúde, TCU e Banco Regional de Brasília, por exemplo.

Essa notícia é a terceira sobre falta de segurança em sistemas do Ministério da Saúde nos últimos 30 dias. Os registros que ficaram expostos seriam tanto dos clientes do SUS quanto dos clientes de planos de saúde. O total é superior ao número de habitantes do Brasil porque contém registros de pessoas que já morreram.

Fonte: CISO Advisor – https://www.cisoadvisor.com.br/credencial-exposta-no-ms-acessava-243-milhoes-de-registros/