由于卫生部系统的密码泄露,至少有1600万巴西人怀疑或确认诊断为covid-19,其个人和医疗数据在互联网上暴露了将近一个月。
总统贾尔·博尔索纳罗(Jair Bolsonaro)及其家庭成员中,侵犯隐私权并暴露了诸如公积金,地址,电话和先前存在的疾病等信息的人之中;卫生部长爱德华多·帕祖洛(Eduardo Pazuello);其他六个部委,例如玛瑙洛伦佐尼和达玛雷斯阿尔维斯;除了分庭市长Rodrigo Maia(DEM-RJ)和参议院Davi Alcolumbre(DEM-AP)的市长以外,圣保罗,若昂多里亚(PSDB)的州长以及其他16名州长。
数据泄露不是由黑客攻击或系统安全漏洞引起的。在阿尔伯特·爱因斯坦医院的一位官员发布了用户和密码列表之后,他们可以进行咨询。这些用户和密码可以访问由covid在27个州进行的检查,诊断和住院的人的数据库。根据爱因斯坦的说法,医院正在访问数据,因为它正在与卫生部合作开展一个项目。
使用这些密码,可以访问在两个联邦系统中发布的covid-19记录:E-SUS-VE,其中当患者处于轻度或中度状况时报告可疑和确诊的疾病病例,以及Sivep-Gripe ,其中记录了所有因严重急性呼吸系统综合症(SARS)而住院的患者,即最严重的患者。
Estadão在举报投诉后发现了数据的暴露,该投诉的链接指向提供系统密码的页面。包含该信息的电子表格已于10月28日发布在GitHub平台上的爱因斯坦数据科学家Wagner Santos的个人档案中,供程序员用来托管代码和文件。
该报告访问了系统以检查数据的准确性。在确认密码有效之后,他向已经公开披露了对covid的诊断或怀疑并确认数据正确的当局寻求记录。
除患者的个人信息外,卫生部的数据库还包含被认为对临床病史具有机密性的细节,例如先前存在的疾病或状况,包括糖尿病,心脏病,癌症和艾滋病毒。
一些住院患者的记录甚至从病历中获取信息,例如在住院期间使用了哪些药物。例如,在帕祖埃洛的名册中,有可能知道他被接纳在武装部队医院的哪一层以及从医院出院的是哪位专业人员。
公共和私人患者都暴露了他们的数据。这是因为所有医院都必须向卫生部通报疑似或确诊的共生病例。
对于数字法教授,Direitodigital.io论坛的创始人朱利安·马达莱娜(Juliano Madalena)来说,密码泄漏和数据泄露应受到公共当局的保护令人担忧。据专家说,这些信息可以被不同的公司用于商业目的。 “健康数据可以由想要以特定方式针对大众的特定产品的行业公司,人寿保险公司或健康计划使用,即使是具有歧视性的方面,通常也具有歧视性,因为您拥有有关历史的信息人的健康”,他说。
律师说,考虑到《通用数据保护法》,控制和访问数据的人员有责任采取防止泄漏的措施。在这种情况下,爱因斯坦及其雇员和卫生部都可能因将信息暴露给数百万人而对集体伤害负责。即使他们没有故意采取行动,那些负责泄露个人和敏感数据的人也可能有法律义务为集体损害赔偿损失。
艾斯塔德·爱因斯坦医院和卫生部在收到Estadão的有关联邦系统密码泄漏的通知后,表示访问密钥已从互联网上删除并在系统中进行了交换,该报告证实了这一信息。他们还说,爱因斯坦将展开内部调查以确定责任。
爱因斯坦说,仅在昨天下午与该报告接触后才告知,“一个合作者将在没有适当保护的情况下向某些系统提交访问信息”。医院说,它已经通知卫生部,“应该采取措施确保对这些信息的保护”。
爱因斯坦还表示,其所有员工都接受了数字安全培训,并且“将采取适当的管理措施”。当被问及向卫生部提供的服务类型时,医院告知这是统一卫生系统机构发展支持计划(Proadi-SUS)的一个项目,其中使用流行病学数据对医院的服务进行了预测分析。大流行。
该报告质问该机构为何能够访问个人数据,而不仅是身份不明的信息,并被告知该数据库不适用于爱因斯坦,而仅适用于卫生部自身的医院雇员。
联邦机构确认了这种伙伴关系,并表示与爱因斯坦举行了一次会议,以澄清事实。他说,发布密码的专业瓦格纳·桑托斯(Wagner Santos)由爱因斯坦(Einstein)聘用,自9月以来一直在该部担任数据科学家。联邦文件夹说:“作为该部安全措施的一部分,并遵守合规性和保密协议,他在访问e-SUS Notifica数据库之前签署了一项责任条款。”
据该部称,爱因斯坦证实其合作者之一而不是系统犯了人为错误,并告知其开始了事实调查过程。该机构表示,正在进行“跟踪可能已复制数据的站点或网络空间”。
该文件夹还表示,SUS计算机部门(DataSUS)立即撤销了对爱因斯坦员工发布的上述电子表格中包含的登录名和密码的所有访问权限。 “卫生部强调,所有可以使用其信息系统的技术人员均应签署使用信息的责任条款,每个人都知道,披露个人信息将受到刑事和行政制裁。”
爱因斯坦员工瓦格纳·桑托斯(Wagner Santos)也受到该报告的追捧,证实他已在github平台上的个人资料中发布了密码电子表格,以对模型的实现进行测试,但忘记从公共页面上删除该文件。
卫生部密码泄露泄露了1600万名共患病患者的数据