A empresa Zello Tecnologia, contratada pelo Ministério da Saúde para ajudar a desenvolver o sistema que deixou dados de milhões de brasileiros expostos, afirmou ao Estadão que a responsabilidade pela concepção e desenho do sistema era do ministério e que o processo de desenvolvimento do código não apresentou nenhum erro.
É a primeira vez que a empresa se manifesta após o Estadão revelar, no último dia 2 de dezembro, a exposição da base cadastral do SUS com mais de 200 milhões de brasileiros.
De acordo com a companhia, o serviço prestado pela Zello limitava-se ao desenvolvimento do chamado código front-end do sistema, que tem a função de definir como será a interface com o usuário. Esse código fica aberto para visualização por qualquer usuário e era nele em que ficaram expostas indevidamente login e senha para acesso ao banco de dados com informações de milhões de brasileiros.
Embora a empresa seja quem executa o desenvolvimento desse código, a definição sobre como ele deve estar estruturado é do ministério, de acordo com a companhia. “A Zello Tecnologia é contratada pelo Ministério da Saúde para desenvolver o front-end de sistemas. A construção da camada front-end do e-SUS-Notifica (sistema de notificações de casos de covid onde falha foi identificada) não apresentou nenhum erro de codificação. As vulnerabilidades encontradas foram originadas na arquitetura de serviços definida pelo Ministério da Saúde”, disse a Zello, em nota encaminhada ao Estadão na sexta-feira, 4.
A empresa disse ainda que trabalhou com a equipe técnica do Ministério da Saúde para encontrar a falha, mas que, como não é responsável pela implementação da estrutura do sistema (camada back-end do código), o ministério foi o responsável pela correção.
Questionado sobre a afirmação da Zello, o ministério não foi claro. Disse que a empresa contratada “foi responsável por criar o código do sistema e atuou em conjunto com o Ministério da Saúde durante todo o processo de revisão”, mas não informou quem foi o responsável pela decisão técnica de manter login e senha da base de dados no código front-end.
A pasta afirmou que segue investigando o que causou o incidente e “solicitou auditoria no código dos demais serviços desenvolvidos”.
Outros contratos
A Zello já prestou serviços para ao menos outros 15 órgãos federais e, atualmente, tem contrato de desenvolvimento de sites e apps com dez deles.
Entre os serviços prestados estão o desenvolvimento do aplicativo do Enem e do Sisu para o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) e do app e-título para o Tribunal Superior Eleitoral (TSE).
Desde 2015, quando a empresa firmou o primeiro contrato com o governo federal, ela já recebeu R$ 151 milhões. O órgão com o maior repasse é o Ministério da Saúde (R$ 43 milhões), seguido do Inep, que já repassou à Zello R$ 27 milhões. Os dados são do Portal da Transparência.
A empresa diz que atua no mercado de transformação digital desde 2009 e que, nos últimos cinco anos, entregou mais de 400 projetos para diversos clientes públicos e privados. A empresa diz ainda que “adota sempre as melhores práticas de segurança de dados”.
