Vazamento em janeiro expôs cerca de 500 mil celulares de empresas
Após o megavazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, mais de meio milhão de celulares corporativos já circulam livremente na internet - embora os dados estejam à venda, o hacker tornou pública uma pequena parte das informações. A conclusão é da empresa de segurança Syhunt, que analisou com exclusividade para o Estadão alguns dos arquivos disponibilizados pelo hacker na internet.
Um dos arquivos publicados pelo hacker é uma espécie de "amostra grátis" daquilo que ele tem para vender. Ao analisar a pasta referente a números telefônicos de pessoa jurídica, foi possível detectar que estavam disponíveis 532.696 celulares, volume muito superior ao de números registrados para pessoa física (6.945). Entre as linhas de pessoa jurídica, o hacker classificou 366.770 como números da operadora Vivo. Outros 12.123 números estão classificados como números da TIM. O restante não está classificado. Todos os números telefônicos estavam associados aos números de CNPJ das empresas.
Os números estão registrados em diversas partes do Brasil. O pacote tem 179.172 números do DDD 11, seguido por números da região de Curitiba, cujo DDD é o 41 (93.194). O Paraná aparece como o Estado mais afetado. Apenas o Nordeste não aparece na amostra vazada.
"O maior problema de números corporativos se tornarem públicos é que aumentam as tentativas de golpe junto às empresas", explica Felipe Daragon, fundador da Syhunt. "Podem surgir golpes de engenharia social, no qual os criminosos se passam por uma fonte legítima para extrair informações valiosas." O Estadão apurou que, desde o vazamento dos números, as empresas perceberam aumento nas tentativas de ataques a seus dados.
Em comunicado, a Vivo disse que "não teve incidente de vazamento". A TIM, também em nota, afirmou que "não sofreu nenhum ataque ou vazamento que colocasse em vulnerabilidade os dados de clientes e ou dados próprios".
Bases diversas. A prevalência de números da Vivo no pacote é mais um indício de que o criminoso compilou informações de diferentes vazamentos. Em novembro de 2019, uma falha no site da Vivo expôs informações de 24 milhões de clientes.
Não é possível determinar se os números oferecidos atualmente foram obtidos durante esta falha. A tese de que as bases de dados do megavazamento são uma compilação com origem difusa vem ganhando força entre especialistas em cibersegurança.
As informações são do jornal O Estado de S. Paulo.
Vazamento de senha do ministério expõe dados de 16 milhões de pacientes de covid
Ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde. Entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, estão o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria (PSDB), e mais 16 governadores, além dos presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).
A exposição de dados não foi causada por ataque hacker nem por falha de segurança do sistema. Eles ficaram abertos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid nos 27 Estados.
Conforme o Einstein, o hospital tem acesso aos dados porque está trabalhando em um projeto com o ministério.
Com essas senhas, era possível acessar os registros de covid-19 lançados em dois sistemas federais: o E-SUS-VE, no qual são notificados casos suspeitos e confirmados da doença quando o paciente tem quadro leve ou moderado, e o Sivep-Gripe, em que são registradas todas as internações por Síndrome Respiratória Aguda Grave (SRAG), ou seja, os pacientes mais graves.
A exposição dos dados foi descoberta pelo jornal O Estado de S. Paulo após uma denúncia recebida pela reportagem com o link para a página onde as senhas dos sistemas estavam disponíveis. A planilha com as informações foi publicada em 28 de outubro no perfil pessoal de Wagner Santos, cientista de dados do Einstein, na plataforma github, usada por programadores para hospedar códigos e arquivos.
A reportagem acessou o sistema para checar a veracidade dos dados. Ao verificar que as senhas eram válidas, buscou registros de autoridades que já haviam divulgado publicamente diagnóstico ou suspeita de covid e confirmou que os dados estavam corretos.
Os bancos de dados do ministério trazem, além das informações pessoais dos pacientes, detalhes considerados confidenciais sobre o histórico clínico, como a existência de doenças ou condições pré-existentes, entre elas diabete, problemas cardíacos, câncer e HIV.
Alguns registros de pacientes internados traziam até informações do prontuário, como quais medicamentos foram administrados durante a hospitalização. No registro de Pazuello, por exemplo, era possível saber em qual andar do Hospital das Forças Armadas ele ficou internado e qual profissional deu baixa em sua internação.
Tanto pacientes da rede pública quanto da privada tiveram seus dados expostos. Isso porque a notificação de casos suspeitos ou confirmados de covid ao Ministério da Saúde é obrigatória a todos os hospitais.
Para o advogado Juliano Madalena, professor de Direito Digital e fundador do fórum direitodigital.io, o vazamento das senhas e exposição dos dados que deveriam ser resguardados pelo poder público é preocupante. De acordo com o especialista, as informações podem ser usadas para fins comerciais por diferentes empresas. "Dados de saúde podem ser usados por empresas do ramo que queiram criar produtos específicos voltados para um público, por empresas de seguro de vida ou planos de saúde de forma indevida, muitas vezes até com aspecto discriminatório, pois você tem as informações sobre o histórico de saúde da pessoa", diz.
O advogado diz que, considerando a Lei Geral de Proteção de Dados, é dever de quem controla e acessa os dados adotar medidas que evitem vazamentos. Nesse caso, tanto o Einstein e seu funcionário quanto o Ministério da Saúde podem ser responsabilizados por dano coletivo por terem exposto informações de milhões de pessoas. As informações são do jornal O Estado de S. Paulo.