La filtración de contraseñas para acceder a datos de 16 millones de brasileños sospechosos o confirmados por covid-19 no fue el resultado de un ataque ciberdelincuente. Según Estadão, fue un error de un profesional de dados quién habría publicado las credenciales en su perfil de Github.
La base de datos estuvo abierta para consulta durante aproximadamente un mes, entre octubre y noviembre. después de un científico de datos El Hospital Albert Einstein publica una lista con credenciales de acceso a dos sistemas: E-SUS-VE, que recopila datos de pacientes con covid-19 presunto o confirmado y Sivep-Gripe, que recopila registros de hospitalización de pacientes en un estado mas serio. Ambas bases de datos son de nivel federal y recopilan datos de todo Brasil.
Las bases de datos son responsabilidad del Ministerio de Salud y según el diario, el empleado tuvo acceso a estos datos, ya que estaba trabajando en un proyecto con el gobierno. El objetivo era probar la implementación de un modelo, pero el empleado olvidó eliminar el archivo (que era público) de Github..
Los datos
Los sistemas reúnen nombre, CPF, dirección, teléfono y enfermedades preexistentes de unos 16 millones de brasileños que acudieron a hospitales con síntomas de covid-19. Todavía hay información de la historia clínica y qué medicamentos se utilizaron en el tratamiento durante la hospitalización de algunos pacientes.
Los hospitales brasileños deben proporcionar datos relacionados con el covid-19 al Ministerio de Salud. Estos datos son información fundamental para que el gobierno cuente con criterios en el desarrollo de tratamientos e incluso una vacuna. Pero son datos extremadamente confidenciales, que deberían pertenecer solo al gobierno por el bien público. Ya que las empresas (tanto sanitarias como de cualquier otro ámbito) pueden utilizarlas para ofrecer productos y soluciones específicos dirigidos a un grupo o incluso de forma individual.
Entre los registros, es posible encontrar información de Jair Bolsonaro y su familia, además de muchos otros representantes políticos, como João Dória, Onyx Lorenzoni, Damares Alves, Rodrigo Maia. Los datos fueron confirmados por Estadão.
Posicionamiento oficial
En un comunicado de prensa publicado el jueves (26), el Ministerio de Salud informa que el archivo ya ha sido eliminado de Github y que el equipo de ciberseguridad del hospital ya está “tomando las medidas necesarias para contener una posible filtración de archivos que contienen nombre de usuario y contraseña para acceder a la información del sistema a través de Elastic Search”.
los el hospital informa que no tiene acceso a los datos, ni al archivo con las contraseñas, pero que el empleado tenía, porque estaba trabajando en un proyecto en asociación con el Ministerio de Salud. Según el hospital, el empleado fue despedido el mismo día que la filtración se hizo pública.
“[Os dados] se archivan en una base de datos del Ministerio de Salud y se utilizan en un programa de monitoreo de pandemias Covid-19. El empleado fue incluso alquilado en Brasilia ”, dice el comunicado.
Fuente: Estadão; Ministerio de Salud; Hospital Albert Einstein.
See the original post at: https://thehack.com.br/vazamento-de-senhas-do-ministerio-da-saude-nao-foi-causado-por-ataque-cibercriminoso/?rand=48889
