- Vivo, Claro, Oi, TIM e PSafe terão que explicar vazamento ao Procon-SP
- O que fazer em caso de vazamento de dados pessoais?
Fachada do Ministério da Saúde (Imagem: Marcello Casal Jr / Agência Brasil)
“O site continua uma b****, nada foi feito, a única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos é quem fez o formulário e não leu os termos”, diz a mensagem publicada no Twitter pela conta @coleciona_dor.
A invasão é real e foi confirmada por Thiago Aquino, presidente da Anati (Associação Nacional dos Analistas em Tecnologia da Informação), ao Metrópoles. O Tecnoblog entrou em contato com o Ministério da Saúde, que não respondeu até o momento.
RG vazado por hacker do DataSUS (Imagem: Reprodução)
O aviso do hacker traz links para cinco imagens, todas com dados pessoais censurados: um RG registrado em Mato Grosso; uma carteira de motorista, também de MT; uma lista com nomes de funcionários; um print com CPF, telefone e e-mail de dois funcionários; e uma tabela com estatísticas de formulários preenchidos do DataSUS, atualizada até o mês de janeiro de 2021.
“Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá… e olha que o salário é muito bom!”, ironiza o invasor. Ele também diz, em tom de ameaça: “arrumem este site porco ou na próxima vão vazar os dados dos responsáveis por esta porcaria”.
CNH e dados de funcionários também vazaram (Imagem: Reprodução)
O hacker deixou uma reclamação para a autoridade responsável por aplicar a LGPD (Lei Geral de Proteção de Dados Pessoais): “ANPD, como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro!!!”.
Ele também criticou os “hackers sem vergonha” que estariam vendendo informações do DataSUS: “o custo para arrumar isto vai sair do seu bolso!”.
Hacker menciona possíveis falhas do DataSUS
A mensagem do hacker (Imagem: coleciona_dor / Twitter)
O aviso menciona três siglas, que seriam três tipos de problemas nos sistemas do DataSUS:
- RCE, ou execução remota de código, é uma vulnerabilidade que permite rodar código malicioso através de uma rede;
- SQLI, ou injeção de SQL, é uma instrução que permite consultar indevidamente um banco de dados para obter informações dos usuários;
- XSS, sigla em inglês para cross-site scripting (script entre sites), envolve injetar um código indevido – geralmente em JavaScript – em uma página da web para que seja executado no navegador do usuário, permitindo roubar dados.
A mensagem também diz que “isto aqui é uma verdadeira CTF”. Esta é a sigla para Capture The Flag, tipo de competição em que hackers disputam entre si para encontrar e explorar (ou consertar) uma falha de segurança.
No final de janeiro, o DataSUS foi invadido com um aviso parecido: “este site está um lixo!”, disse o hacker. “Favor levar a sério os assuntos de segurança da informação. Bolsonaro, dá um jeito aí!”
E em novembro de 2020, o Ministério da Saúde também sofreu um ataque: o DataSUS desativou acesso a algumas redes de forma preventiva, impedindo o uso do e-mail e de alguns sistemas internos do SUS.
DataSUS é invadido de novo e hacker reclama: “continua uma b****”
Fonte: https://tecnoblog.net/413354/datasus-e-invadido-de-novo-e-hacker-reclama-continua-uma-b/
Nenhum comentário:
Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.