Em meio a infinitas discussões sobre cibersegurança em saúde e sobre privacidade da informação dos pacientes, um caso já anunciado por muitos especialistas do setor aconteceu: dados pessoais associados ao registro do Cartão Nacional de Saúde vazaram. O Ministério da Saúde confirmou a informação de que estas informações foram divulgados de forma indevida. De acordo com as investigações, o vazamento resultou do acesso com um login válido e não da invasão de um hacker.
De acordo com Renato Sabbatini, Auditor Líder de Segurança de Informação pela ISO 27.001, certificado internacionalmente, e vice-relator do Grupo de Trabalho 4 de Segurança de Informação da Comissão Especial de Informática em Saúde da ABNT, “o banco foi roubado por alguém que tinha login e senha. Descobriram que existem milhares de usuários com o login e senha de acesso em todos os níveis: municipal, estadual e federal.”
Sabbatini ainda diz que esta é “seguramente a maior quebra de dados de toda a história da internet e tem um potencial gigantesco de abuso caso a base tenha sido replicada por outros hackers”.
Como a base é ligada aos dados da Receita Federal, mesmo que um cidadão nunca tenha usado os serviços públicos de saúde, há possibilidade de que teve seus dados divulgados. A lista de dados divulgados na internet continha nome completo, CPF, nome do pai e da mãe do cidadão, endereço completo e tipo sanguíneo.
A existência dos dados completos disponibilizados, de acordo com Sabbatini, “aumenta o potencial de uso fraudulento pelas máfias de falsificação e roubo de identidade para dar golpes, como falsificar um conjunto completo de documentos em nome de uma pessoa já que, quanto mais completo o conjunto de dados, maior a veracidade”.
Até o momento, o site já foi retirado do ar, o Ministério informou que os dados foram bloqueados, mas os danos causados podem ser imensos, já que diversas cópias deste material já podem estar em circulação.