Reportagem do jornal O Estado de S. Paulo, publicada nesta quinta-feira (26), mostra que ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 ficaram com os dados pessoais e médicos expostos na internet durante quase um mês, após um vazamento de senhas de sistemas do Ministério da Saúde.
Segundo a publicação, entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, estão o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria (PSDB), e mais 16 governadores; além dos presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).
Além das informações pessoais dos pacientes, também foram expostos detalhes considerados confidenciais sobre o histórico clínico, como a existência de doenças ou condições pré-existentes, entre elas diabetes, problemas cardíacos, câncer e HIV.
O episódio ocorreu devido a uma falha humana e não tem relação com ataque hacker. A exposição dos dados foi descoberta após uma denúncia recebida pelo jornal, com o link para a página onde as senhas dos sistemas estavam disponíveis.
A planilha com as informações foi publicada em 28 de outubro no perfil pessoal de Wagner Santos, cientista de dados que atua no Hospital Albert Einstein, na plataforma "Github", usada por programadores para hospedar códigos e arquivos.
As informações ficaram abertas para consulta após o funcionário do hospital divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid-19 nos 27 Estados. Conforme o Einstein, o hospital tem acesso aos dados porque está trabalhando em um projeto com o Ministério da Saúde.
Ao jornal O Estado de S. Paulo, o Einstein afirmou que todos os funcionários passam por treinamento de segurança digital e que "tomará as medidas administrativas cabíveis". Já o Ministério da Saúde confirmou a parceria com a instituição paulista e disse que realizou reunião para esclarecimento dos fatos.
A pasta disse ainda que o profissional Wagner Santos, que publicou as senhas, é contratado pelo Einstein e atua no ministério desde setembro como cientista de dados. "No âmbito das medidas de segurança do ministério e em atendimento aos protocolos de compliance e confidencialidade, ele assinou termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica", informou o órgão federal.
O hospital e o Ministério da Saúde também disseram que as chaves de acesso foram removidas da internet e trocadas nos sistemas, o que foi confirmado pela reportagem.
Wagner Santos também foi procurado e confirmou que publicou a planilha de senhas na plataforma "Github". Afirmou, contudo, que "esqueceu" de remover os arquivos da página.