Segundo um programador português, uma vulnerabilidade na plataforma do Sinave permitia extrair dados como morada ou número de contribuinte.
Uma falha num site da Direção-Geral da Saúde (DGS) permitia extrair informações pessoais detalhadas dos portugueses, tais como nomes pessoais, moradas, datas de nascimento e números de contribuinte.
No entanto, não se sabe por quanto tempo é que existiu esta vulnerabilidade, nem se foi efetivamente explorada por alguém, ou se os dados foram utilizados.
O Público avançou esta segunda-feira que a vulnerabilidade foi detetada no site do Sistema Nacional de Vigilância Epidemiológica (Sinave), criado em 2014 para tentar descobrir a tempo o risco de surtos e situações de perigo para a saúde pública.
Na plataforma são registadas doenças de “declaração obrigatória”, como é o caso do VIH/Sida e da tuberculose. Mas recentemente, foram registados os casos de covid-19.
Foi nesta plataforma que um programador português encontrou, por mero acaso, o erro que expunha a informação. Bastava colocar mais uns caracteres no URL do site.
De acordo com o Público, a falha já foi corrigida, poucos dias depois de o Centro Nacional de Cibersegurança ter sido alertado para o caso, em março.
“O Centro Nacional de Cibersegurança [CNCS] teve conhecimento deste caso em março e o mesmo ficou resolvido pouco tempo depois”, garantiu um porta-voz do CNCS, em entrevista ao Público.
Segundo o CNCS, a situação ficou resolvida em três dias, mas a equipa não sabe durante quanto tempo é que o erro esteve escondido ou se terá sido explorado.
“É provável que tenha sido explorado. A venda de dados pessoais na Internet é um negócio que vale milhões”, informou José Tribolet ao Público.
O fundador e ex-presidente do Inesc – Instituto de Engenharia de Sistemas e Computadores — já tem alertado repetidamente para as lacunas da legislação portuguesa em matéria de cibersegurança.
Quando alguém se infiltra numa base de dados, como a do Sinave, é normal tentar vender a informação na dark web, que aloja conteúdo encriptado, frequentemente ilegal – é o equivalente ao mercado negro online.
“Este tipo de informação permite orquestrar ataques em que se usam sistemas automatizados para tentar aceder, com os dados, a várias plataformas online em simultâneo”, sublinha Tribolet.
“E temos de começar a pensar na possibilidade de estes dados serem utilizados por Estados no contexto da ciberguerra. Existirão certamente mais falhas como esta”, insiste. “Esta foi descoberta, mas em Portugal falta um enquadramento jurídico para regular e monitorizar as infraestruturas digitais”, critica o investigador.
“A maioria das falhas é descoberta porque há incidentes reportados a autoridades como o CNCS e a Polícia Judiciária”, conclui Tribolet.
Estas falhas informáticas já comerçam a ser frequentes. Se calhar é melhor passar á papelada como antigamente.
Incrível como ninguém fala do RGPD.
Parece-me que foi um monstro legislativo para aplicar coimas aos privados.
Ao público não se exige nada, mas se garante tudo.
Pelas noticias vinculadas estas falhas foram detetadas já em março de 2022, salvo erro.
De acordo com a legislação em vigor sobre a proteção de dados pessoas quando detetadas estas falhas deve a entidade responsável pelo tratamento desses dados pessoais comunicar a situação a eventuais lesados. E que comunicação foi feita pela DGS aos lesados? nada, silêncio, …
O funcionalismo público no seu melhor… legisla-se para privados mas o público “é imune” àquilo que legisla… enfim