Vulnerabilidade no website da DGS expõe dados pessoais dos portugueses como nomes, moradas e número de telefone

Em março foi detetada uma vulnerabilidade na plataforma do Sinave (Sistema Nacional de Vigilância Epidemiológica) no website da Direção-Geral da Saúde, que permitia aceder a dados pessoais dos portugueses, sem a necessidade de efetuar qualquer tipo de autenticação. Segundo foi avançado pelo Público, o problema dava acesso a informações tais como o número de identificação fiscal, a morada, número de telefone, a data de nascimento e o nome dos registados.

A falha foi encontrada por um programador português, quando estava a tentar ligar a base de dados do website aos serviços digitais de um cliente. O programador percebeu que estavam disponíveis abertamente extensas bases de dados privados.

O problema foi corrigido poucos dias depois do Centro Nacional de Cibersegurança ter sido alertada. No entanto, não se sabe se a falha chegou a ser explorada por agentes maliciosos ou durante quanto tempo esteve exposto. Segundo o jornal, o erro foi encontrado por acaso, bastando colocar mais alguns caracteres no próprio endereço do website. Este tipo de dados pode ser vendido no mercado negro a cibercriminosos, assim como empresas de publicidade e outros.

A plataforma Sinave foi criada em 2014 e é onde são registadas as doenças de declaração obrigatória, tais como a SIDA, tuberculose, assim como os casos de COVID-19 e respetivos testes. A plataforma permite ajudar a descobrir atempadamente potenciais riscos de surtos e outras situações de ameaça à saúde pública.

Em declarações à RTP, a diretora-geral da Saúde, Graça Freitas, salientou que não se sabe ao certo quantas pessoas terão sido afetadas, caso a vulnerabilidade tenha sido explorada. Graça Freitas reconhece a preocupação e do problema de segurança, embora tenha salientado que neste caso foi resolvido rapidamente.

O SAPO TEK pediu uma reação ao Centro Nacional de Cibersegurança e aguarda resposta no fecho desta notícia.