O aplicativo ConecteSUS, do Ministério da Saúde, apresenta uma falha de segurança que permite a validação do certificado de vacina contra a Covid-19 através da leitura de qualquer QR Code. O erro abre uma brecha para não imunizados burlarem a emissão do passaporte da vacina, documento que atesta a imunização exigida por diversos estados para permitir a entrada em eventos ou estabelecimentos.
Curta e siga nossas redes sociais:
Sugira uma reportagem. Mande uma mensagem para o nosso WhatsApp.
O problema foi descoberto pela agência de notícias “Saiba Mais”. Em resposta, o Ministério da Saúde informou “que identificou a falha na segunda-feira (24), e com a máxima agilidade efetuou a atualização do componente de validação de QR-Code do aplicativo ConecteSUS”.
A pasta acrescentou que a “ferramenta está funcionando normalmente no site e nas lojas de aplicativos Android e iOS”. Contudo, testamos o leitor de QR Code novamente durante a manhã de hoje e verificou que o problema ainda persiste, mesmo atualizando o aplicativo.
A reportagem questionou novamente o Ministério da Saúde e aguarda o retorno.
Como falha ocorre?
Ao acessar o ConecteSUS, os imunizados podem emitir o “Certificado de Vacinação Covid-19”. O documento é composto por um código QR Code, que pode ser escaneado para atestar a sua veracidade.
O problema é que o ConecteSUS valida como verdadeiro qualquer tipo de QR Code, não apenas o gerado pelo próprio aplicativo na emissão do certificado.
Isso abre possibilidade para a falsificação do documento, pois é possível que os não imunizados apresentem passaportes vacinais não originais com qualquer código. E o aplicativo irá validá-lo de toda forma.
No teste feito pela reportagem, usamos o ConecteSUS para ler dois QR Codes. Um gerado pelo WhatsApp Web e outro aleatório de um site de criação de códigos gratuitos.
Em ambos os casos, o aplicativo apresentou a palavra “OK” na leitura, como se realmente fossem códigos de certificados originais de vacinação.
É mais um ataque ou erro de programação?
Para Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), o problema não deve ser resultante de algum tipo de ataque, mas de uma falha de programação do aplicativo.
“Acredito que seja um problema desenvolvimento e testes, sobretudo no mecanismo que responde ao aplicativo e ao resultado do scaner”, sugere.
Ele diz que o aplicativo parece validar o QR Code sem consultar a sua base de dados para saber se aquele código realmente é verdadeiro.
“Todo QR Code gera uma informação codificada que, ao ser lida, se descodifica. A partir daí o processo deveria ser de consulta deste código numa base de dados. Com isso, então, deveria haver um retorno sobre o sucesso ou falha da busca. A aplicação parece dar resultado de sucesso sem antes ter consultado na base, mas somente ao ler o QR code”, explica.
Pedro Saliba, pesquisador da Associação Data Privacy Brasil, também concorda que que o caso parece envolver um erro de sistema.
“Geralmente os ataques a sistemas da informação por grupos organizados são publicizados, já que isso garante certa honra perante a comunidade”, pontua. “Possivelmente é uma falha na programação”.
Para Saliba, a descoberta mais uma vez expõe a fragilidade do sistema de segurança da informação do Ministério da Saúde, algo que se tornou recorrente na pandemia.
“O que é importante pontuar é a reiterada insegurança da informação promovida pelo Ministério da Saúde. O ataque que tornou os sistemas indisponíveis em dezembro de 2021 não foi o primeiro: o site foi alterado para expor a fragilidade do sistema em fevereiro de 2021, dados pessoais de pessoas públicas, como Manuela D’Ávila e Átila Iamarino foram alterados, além da exposição dos dados de 243 milhões de pessoas em dezembro de 2020”, frisou.
“O que fica evidente é uma falta de zelo pelos princípios da segurança da informação: disponibilidade, integralidade, confidencialidade e autenticidade.”
Pedro Saliba, Data Privacy Brasil
O ataque hacker mais recente
O aplicativo ConecteSUS chegou a ficar fora do ar por 13 dias depois do ataque hacker que o Ministério da Saúde sofreu no fim de 2021. A ferramenta retornou em 23 de dezembro, com com instabilidade.
A volta normal com todas as suas funcionalidades, inclusive o comprovante de vacina, ocorreu no dia 27 do mesmo mês.
Em 10 de dezembro, o site do Ministério da Saúde amanheceu com um “defacement” (espécie de pichação virtual): um grupo deixou uma mensagem dizendo que tinha apagado dados e exigindo um pagamento para devolver o sistema.
Após o acesso ilegal, a rede de internet do ministério foi desligada. Os atacantes conseguiram ter acessar o serviço de nuvem usado pela pasta, o AWS (da Amazon), e conseguiram apagar e alterar dados da plataforma do ConecteSUS.
Fonte: Tilt/UOL
