Após o vazamento de dados pessoais de 16 milhões de brasileiros diagnosticados com Covid-19 na semana passada, agora o Ministério da Saúde permitiu o vazamento de dados de mais de 200 milhões de brasileiros através de uma falha no código do site do órgão. Os dados de cadastro ficaram disponíveis para qualquer pessoa durante 6 meses.

A falha expôs informações de beneficiários do SUS e de clientes de planos de saúde, entre os dados expostos estão CPF, nome completo, endereço e telefone.

O vazamento também expôs dados de autoridades como o Presidente da República, o Presidente da Câmara e outros, o que denota a precariadade na proteção dos dados por parte do órgão.

A falha existente poderia ser facilmente identificada, pois bastava exibir o código da página com a função “Inspecionar Elemento” do navegador e extrair as credenciais de acesso ao banco de dados codificadas em Base64, depois reverter decodificação usando serviços online. A codificação não protege os dados, diferentemente da encriptação que requer chaves para desencriptação.

O Ministério declarou que está apurando o incidente, mas fica clara a grave infração à LGPD, o que pode resultar em multas aos responsáveis e indenizações às vítimas. A falha já foi corrigida, mas o estrago já foi feito e pode se estender por anos.