Une fuite qui a exposé 2,4 millions d’utilisateurs, publiée ce jeudi (11), a créé une controverse : le hacker affirme que les données proviennent du SUS (Système de santé unifié) ; le ministère de la Santé le nie. Cependant, les indications soulevées par PerlmOl soulignent que les informations proviennent du gouvernement : mon registre a fait l’objet d’une fuite et comporte une adresse physique que je n’aurais pu utiliser qu’en SUS. En outre, le système qui aurait servi de source a été exposé depuis au moins 2014, et est maintenant “en maintenance”.
Le hacker appelé Tr3v0r a parlé à PerlmOl et a expliqué quelques détails supplémentaires. Il dit qu’il a obtenu des données de 205 millions de personnes, sans doublon. 1 % de ces données ont été publiées sur un site qui est actuellement hors ligne et devrait migrer vers un domaine .oion sur le Darkweb. “Plus loin, je ferai fuir le reste”, dit-il.
En février, Tr3v0r tuitou que iria divulgar 2.396.514 registros únicos coletados do SUS. Les données comprennent le CPF, le nom complet, le nom de la mère, la date de naissance, le lieu, le numéro (de la propriété), le complément, le quartier, le code postal, la ville et l’état.
J’ai demandé à Tr3v0r de trouver mes données à partir du nom complet. Le CPF est correct, ainsi que la date de naissance et le nom de ma mère ? cela ne prouve pas grand chose, puisque cette information a dû être divulguée auparavant.
La partie la plus importante est mon adresse enregistrée, qui ne figure probablement que sur les systèmes SUS. Il appartient à une famille que j’ai connue à São Gonçalo (RJ) et n’a jamais été utilisé pour la correspondance ou les contrats. J’ai déménagé en 2011 à Niterói, une ville voisine, et j’ai passé quelques mois sans plan de santé valide dans l’État.
Sommaire
Données du ministère de la santé sur l’exposition au domaine depuis 2014
Les données ont été obtenues par le biais d’une API dans un domaine du ministère de la santé, selon Tr3v0r. Il était possible d’utiliser une adresse avec CPF à la fin, en suivant le modèle “consulta.php?cpf=xxx.xxx.xxx.xx”. Puis, pendant “quelques mois”, il a exécuté un script avec un générateur CPF pour recueillir les informations correspondant à chaque numéro.
Tr3v0r a publié ce script à GitHub en 2015. Il y a même deux rapports sur Twitter – l’un de 2014, l’autre de 2016 – qui avertissent que cette API était ouverte au public, affichant des données telles que “la date de naissance et le nom de la mère des citoyens par le CPF”. (Serpro précise dans une déclaration à PerlmOl qu’il n’a pas développé le e-SUS, contrairement à ce que suggère l’un des tweets).
Tr3v0r affirme avoir averti le ministère de la santé par e-mail le 29 mars dernier de cette violation ? mais celle-ci n’a pas été corrigée. Ce domaine du ministère de la santé, qui aurait servi de source, était encore disponible aujourd’hui : il permettait de choisir entre le contrôle eSUS, la télésanté, la vitamine A et d’autres systèmes d’information sur les soins de base.
Après que la fuite ait été divulguée, ce domaine a disparu de l’air. Lorsque vous y accédez, vous obtenez le message suivant : “nous vous informons que le système est en cours de maintenance”.
Tr3v0r indique qu’il y a encore deux autres API dans le domaine saude.gov.br qui exposent les données SUS et qui n’ont pas encore été découvertes. En outre, il affirme que deux autres API sont ouvertes sur le site de l’ancien ministère du travail et de l’emploi, un dossier qui s’est éteint en janvier (ses fonctions ont été transférées au Secrétariat spécial de la sécurité sociale et du travail, subordonné au ministère de l’économie).
Le ministère de la santé affirme que la fuite est une “fausse nouvelle”.
Dans une déclaration, le ministère de la santé affirme que “la prétendue fuite d’informations de la base de données des utilisateurs du SUS (CADSUS) est fausse. Selon une analyse préliminaire, “il n’y a aucune preuve que les informations fournies proviennent de la base de données des utilisateurs de la carte nationale de santé – CNS.
En outre, le ministère indique que DATASUS (Département des technologies de l’information du SUS) “a renforcé les actions de sécurité pour assurer la protection des données des utilisateurs” afin de prévenir les actions frauduleuses telles que “la fuite d’informations inappropriées”.
L’@minsaude a mis en place des processus de plus en plus stricts pour l’identification des professionnels qui accèdent quotidiennement aux systèmes d’information, afin de prévenir les actions frauduleuses, telles que les fuites d’informations et les autorisations d’accès indues. Pour en savoir plus : bit.ly/2uXiirL #HealthSemFakeNews #SUS
Un post partagé par Ministério da Saúde (@minsaude) le 11 avril 2019 à 10h44 PDT
Mis à jour le 12/04
