Dida Sampaio/Estadão
Dida Sampaio/Estadão

Lula 'pingaiada' e 'petista sfda': dados vazados da Saúde tinham ofensas a artistas e políticos

Ministério da Saúde diz que conteúdo ofensivo já foi corrigido, mas não explica quem teria adulterado os registros

Fabiana Cambricoli, O Estado de S.Paulo

02 de dezembro de 2020 | 17h18

SÃO PAULO - A base de dados com informações pessoais de mais de 200 milhões de brasileiros e que ficou exposta por uma falha de segurança em um sistema do Ministério da Saúde sofreu adulterações para a inclusão de termos ofensivos nos registros de políticos de esquerda e artistas.

Ao consultar registros de personalidades públicas, o Estadão encontrou conteúdo ofensivo ou sarcástico nos cadastros de pelo menos cinco personalidades brasileiras. Nesses registros, a maioria dos dados, como CPF, nome, telefone e endereço, estão corretos, mas alguns campos foram preenchidos com apelidos ou ofensas.

Há dois registros no nome da ex-presidente Dilma Rousseff (PT). Em um deles, o campo 'nome social' foi preenchido com o xingamento "motherfucker". No outro, o nome social aparece como "Vai Bolsonaro".

No registro da ex-deputada federal Manuela D'Ávila (PCdoB), embora os dados pessoais estejam corretos, o nome social aparece como "petista" e o nome do pai foi adulterado para "Luis Inacio Pingaiada da Silva".

A apresentadora Xuxa Meneghel também sofreu ataques. No registro atribuído a ela, o nome do seu pai (Luis Floriano Meneghel) foi adulterado para "Luiz Floriano Bolsonaro" e o campo 'nome social' foi preenchido com o termo "petista sfda" (pela linguagem usada na internet, a interpretação mais provável seria "petista safada").

No registro do apresentador global Luciano Huck, embora alguns dados pessoais estejam corretos, o nome social foi preenchido com o termo "nareba".

Questionado sobre a adulteração dos cadastros, o Ministério da Saúde afirmou que "o conteúdo ofensivo identificado já foi corrigido" e que "ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido". A pasta não respondeu, porém, quem teria sido o responsável pela inclusão dos termos ofensivos nas bases.

A empresa de tecnologia Zello (antiga MBA Mobi), contratada pelo ministério para desenvolver o sistema que continha falhas de segurança, também foi questionada, mas disse que não se pronunciaria.

A reportagem também procurou os políticos e artistas vítimas das ofensas nas bases de dados. A assessoria da ex-presidente Dilma afirmou que "essa violação é apenas um dos muitos casos de quebra de normas e violações na área de segurança da informação". Disse ainda que "não surpreende que isso ocorra no governo que monitora jornalistas e influenciadores digitais, mas não protege seus próprios dados".

Já a ex-deputada Manuela D'Ávila disse ao Estadão que o Brasil está "sob o comando de um  governo absolutamente incapaz", que "não protege dados dos cidadãos e cidadãs e não esclarece a autoria de adulterações e ofensas".

A assessoria do ex-presidente Luis Inácio Lula da Silva, também do PT, não quis comentar as ofensas, mas disse que avaliará o caso para definir se tomará alguma medida. Huck e a assessoria de Xuxa não responderam.

Segundo o advogado Juliano Madalena, professor de Direito Digital e fundador do fórum direitodigital.io, a adulteração da base com informações não autorizadas pelo detentor do registro também é um ato ilícito, segundo a Lei Geral de Proteção de Dados. "A LGPD não protege apenas do vazamento, mas inclusive do tratamento de dados para a criação de perfil. A prática conhecida como "profiling" pode ser ilícita quando realizada sem autorização do titular", explica.

Ele diz que o artigo 6º da LGPD prevê que o tratamento de dados pessoais deverão observar princípios como boa-fé e não discriminação, ou seja, eles os dados não podem ser tratados para "fins discriminatórios ilícitos ou abusivos", norma que, segundo o especialista, não foi seguida no caso da adulteração dos dados do Ministério da Saúde. O descumprimento da LGPD pode levar a ações civis por dano individual ou coletivo, com possível pagamento de indenização.

Falha de segurança deixou dados de 200 milhões expostos

Nesta quarta-feira, 2, o Estadão revelou que uma nova falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros.

Não foram apenas pacientes com diagnóstico de covid que tiveram sua privacidade violada, como ocorreu em outro caso de exposição denunciado pela reportagem na semana passada. Desta vez, ficaram abertas para consulta as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde. 

Segundo investigação feita pelo Estadão, foram expostos cerca de 243 milhões de registros de pacientes, nos quais constavam informações como número do CPF, nome completo, endereço e telefone. O total de registros é maior que o número de habitantes do País (210 milhões) porque há informações de pessoas que já morreram.

Entre os brasileiros que tiveram a privacidade violada estão os chefes dos três poderes: o presidente Jair Bolsonaro, o deputado federal Rodrigo Maia, o senador Davi Alcolumbre, além do presidente do Supremo Tribunal Federal, ministro Luiz Fux. No caso dos presidentes da Câmara e do Senado, nem um status de “VIP” na base de dados impediu que suas informações pessoais fossem violadas.

Mais uma vez, o problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.

Essas credenciais de acesso estavam em um trecho do código do site que fica aberto para visualização de qualquer usuário por meio da função “inspecionar elemento”, disponível em qualquer navegador. Uma pessoa com conhecimentos básicos de desenvolvimento de sites conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Tendências:

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.