Invasor volta a atacar DataSUS e zomba da segurança do site do governo

Ministério da Saúde sofre nova invasão e hacker critica segurança do sistema. —  Foto/Reprodução/Marcelo Camargo.

Invasor volta a atacar DataSUS e zomba da segurança do site do governo

Publicado no Conexão Notícia em 19.fev.2021.  

Brasil | O DataSUS, setor de informática do Sistema Único de Saúde (SUS), foi alvo de um novo ataque cibernético nesta última quarta-feira (17). Ao que tudo indica, o invasor foi o mesmo indivíduo que realizou uma manobra similar no dia 4 deste mês; na ocasião, ele deixou uma mensagem no sistema FormSUS afirmando que “este site está um lixo” e que “qualquer criança” conseguiria invadi-lo. 

Sistemas do Ministério da Saúde são desfigurados por hackers

Vazamento de senhas do Ministério da Saúde expõe pacientes da COVID, diz jornal

Desta vez, o internauta — que se identifica simplesmente como “HACKER_SINCERO” — foi mais enfático e mandou uma mensagem bem mais grosseira: “O site continua uma b**** nada foi feito, a única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos são de quem fez o formulário e não seu os termos. Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá (sic)”.

Junto à mensagem, o invasor disponibilizou links para imagens supostamente retiradas do sistema do FormSUS, incluindo versões digitalizadas de documentos de identidade e informações pessoais de funcionários públicos do Ministério da Saúde. As ameaças, porém, não param por aí, já que HACKER_SINCERO pede “gentilmente” que o órgão melhore a segurança da página o mais rápido possível.

VEJA TAMBÉM:

+ 'Eu estou curado', diz marido da apresentadora Ana Hickmann  

+"Tenho fé que vamos superar juntos esse momento ruim", diz Belo após ser solto

+ AL: ACS/ACE garantem 14º,  40% de insalubridade, Piso, efetivação e Planos de... 

+ RN: Prefeitura de Rafael Fernandes pagou o Piso de R$ 1.550,00 aos ACS/ACE  

+ Aprovado novo valor Piso dos agentes comunitários de saúde do Ceará em R$ 1.550,00  

Nova mensagem deixada pelo atacante (Imagem: Reprodução/Coleciona-dor (Twitter) 

Arrumem este site porco ou o na próxima vai vazar os dados dos responsáveis por esta porcaria. ANPD como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro! Hackers sem vergonhas, parem de vender os dados, o custo para arrumar isto vai sair do seu bolso!! (sic). 

Este recado mostra que, apesar de tudo, aparentemente o HACKER_SINCERO não estaria aliado a criminosos que vendem dados roubados do DataSUS.

Mas, afinal, quais são as falhas?

Segundo o invasor, existiriam três vulnerabilidades distintas no sistema: execução remota de código (Remote Code Execution ou RCE), injeção de SQL (SQL Injection ou SQLi) e codificação dentre sites (cross-site scripting ou XSS). Na primeira, o atacante conseguiria programar remotamente dentro do servidor da vítima; na segunda, conseguiria manipular seu banco de dados; e, na terceira, injetar comandos para roubar dados do usuário.

Na primeira vez em que HACKER_SINCERO invadiu o FormSUS, uma fotografia da mensagem revelou que o próprio DataSUS pedia que os operadores do sistema não usassem aspas nos campos, vistos que tal caractere, “em várias linguagens de programação, é utilizado para delimitar uma cadeia de caracteres, o que pode levar o FormSUS a uma interpretação diversa do que se pretende”.

Mensagem anterior deixada pelo atacante; perceba que o FormSUS alerta para o uso de aspas (Imagem: Reprodução/Estadão)

Isso dá a entender que é possível usar os campos do formulário para enviar comandos ao servidor e, com isso, efetuar os ataques de RCE, SQLi e XSS citados pelo atacante na invasão mais recente.

O que o Ministério da Saúde tem a dizer?

O Canaltech entrou em contato com o Ministério da Saúde, questionando, sobretudo, o porquê do órgão não ter corrigido tais vulnerabilidades, já que, aparentemente, eram de conhecimento interno. A assessoria de imprensa não falou exatamente sobre pontos específicos das perguntas, mas emitiu o seguinte comunicado oficial:

O Ministério da Saúde informa que descontinuou o FormSUS em 28 de janeiro, após ter identificado uso inadequado do serviço. A plataforma, no entanto, esteve disponível aos gestores para que pudessem realizar o download dos formulários e já foi retirada do ar permanentemente.

Cabe ressaltar que o incidente de segurança registrado no FormSUS não teve impacto no vazamento de dados. Tratou-se de uma técnica conhecida como defacement — que é comparada a uma pichação e consiste na realização de modificações no conteúdo e na estética de uma página da internet.

Vale ressaltar, porém, que a própria foto do ataque mostra que a mensagem está em uma janela pop-up, o que, por si só, pode ser um indício de que não se trata de um simples defacement  — já que tais pichações costumam ser feitas nas homepages dos sites. Tudo indica que o pop-up surgia porque algum código foi injetado no formulário, surgindo depois que o operador realizasse determinada ação.

Por Ramon De Souza, Metrópoles

Acompanhe as notícias do CN - Conexão Notícia no Facebook

Veja outras formas de doações, aqui!

Conteúdo relacionado:

+ Maranhão: Secretaria de Saúde de realiza Capacitação para Agentes de Saúde

+ Santa Catarina: Agentes Comunitários de Saúde recebem novos tablets  

+ Mato Grosso: Prefeitura garante pagamento de piso nacional para agentes de saúde

+ A triste realidade dos ACS/ACE de milhares de cidade que nunca receberam o Piso

+“Perdendo a paciência”, artigo de Augusto Nunes e Silvio Navarro 

+ Profissional é indiciada por falsa aplicação de vacina

+ O bitcoin, investimento sólido ou delírio especulativo? 

+ Robô da Nasa já está em Marte: como foram os "minutos de terror" do pouso

+ Profissional é indiciada por falsa aplicação de vacina

+ Wuhan já tinha indícios de epidemia de coronavírus no fim de 2019, diz OMS 

+ PTB de Roberto Jefferson Apresentou Pedido de Impeachment de Alexandre de Moraes

+ Com ordem de Moraes, PF prende em flagrante deputado Daniel Silveira 

+ Austrália diz que Google e Facebook avançam sobre pagar por notícias

+ Ministro do Turismo comenta sobre a blasfémia do Carnaval passado e as consequências 

+ Bebê terá documento sem identificação de sexo para 'decidir gênero quando crescer'

+ Primeiro teste para Biden: Coalizão americana no Iraque sofre ataque com foguetes 

+ Deputado vai à Justiça contra BBB por racismo contra brancos

+ Aborto na Argentina: Médicos se negam a fazer o procedimento

+ Crise: Argentinos fazem fila para receber sobras de padaria

+ Aborto na Argentina: Médicos se negam a fazer o procedimento

+ Instagram diz que não vai promover Reels 'reciclados' do TikTok 

+ Deputada Bia Kicis e a CCJ: A Câmara dos Deputados de joelhos perante o STF (?) 

+ Após YouTube tirar o canal Terça Livre, deputados buscam enquadrar redes sociais 

+ COVID: Oxford lança estudo sobre combinação de vacinas diferentes

+ STF determina investigação de vazamento de dados de ministros da Corte

+ 'Gênesis': confira quem são os atores que farão o casal José do Egito e Asenate! 

Brasil | Mundo | Coronavírus | Solidariedade | Justiça | Economia | Governo | Brasília | Fé

Ministério da Saúde | Agentes de Saúde | Tecnologia | Gospel | Saúde | Dinheiro | STF