Falha em plataforma da DGS expôs dados pessoais dos portugueses

Uma vulnerabilidade detetada na plataforma Sistema Nacional de Vigilância Epidemiológica (Sinave), da Direção-Geral da Saúde (DGS), expôs dados pessoais da população portuguesa, incluindo nome completo, morada, data de nascimento, número de telefone, data de nascimento e Número de Identificação Fiscal (NIF). A notícia é avançada esta segunda-feira pelo jornal Público.

A vulnerabilidade foi detetada, por mero acaso, e corrigida no passado mês de março, mas não se sabe se foi explorada para fins ilegais ou há quanto tempo existia. Foi um programador português que detetou a falha quando estava a explorar formas de “ligar o site do Sinave aos serviços digitais de um cliente”, garante o jornal.

Logo após a deteção da falha, o Centro Nacional de Cibersegurança começou a acompanhar o caso, que foi encerrado três dias depois, quando a falha foi corrigida. Os dados constantes do SINAVE têm um valor incalculável, podendo valer milhões de euros. Normalmente, os cibercriminosos que acedem e extraem dados pretendem vendê-los a outros cibercriminosos, empresas de publicidade ou mesmo Estados.

O SINAVE é uma plataforma, criada em 2014, e lançada pela DGS, para que os médicos pudessem registar situações de risco e as chamadas doenças de declaração obrigatória, como a tuberculose ou o VIH/sida, de forma a serem identificados mais rapidamente surtos de doenças, por exemplo. Desde 2020 que os casos suspeitos de covid-19 e resultados laboratoriais são inscritos nesta plataforma.