SÃO PAULO, SP (FOLHAPRESS) — Logins e senhas dos sistemas CadSUS (Cadastro Nacional de Usuários do SUS) e E-SUS, do Ministério da Saúde, estão à venda na internet. O acesso oferecido pelos criminosos permite que os compradores façam alterações na ficha de pessoas cadastradas no sistema. É possível mudar o nome do pai ou do tipo sanguíneo, modificar documentos e até declarar o óbito da pessoa.
Os anúncios foram encontrados por reportagem do jornal Folha de S.Paulo em redes sociais como o Facebook e em plataformas de vídeo, como o YouTube.
A atuação desses criminosos antecede o ataque hacker que o site do Ministério da Saúde sofreu na madrugada desta sexta-feira (10), mas o comércio ilegal praticado por eles evidencia a fragilidade do sistema federal.
Sem se identificar, a reportagem da Folha de S.Paulo entrou em contato com um dos vendedores e recebeu a oferta de um acesso que permitiria alterar fichas cadastrais e consultar dados pessoais no CadSUS por R$ 250 por mês. O E-SUS é vendido apenas para consultas.
As negociações são feitas por mensagens no Facebook. Os anúncios ficam localizados na chamada surface web, que, ao contrário da deep web, é o espaço da internet que está disponível para todos os usuários e possui conteúdos que podem ser encontrados de forma fácil em sites de busca como o Google.
O esquema permite o envolvimento de terceiros, aumentando a capilaridade do esquema. Um dos produtos vendidos é o acesso como administrador, no qual a pessoa pode criar novos logins e passar a comercializá-los também.
Os criminosos afirmam que, com o acesso do CadSUS em mãos, é possível mudar raça, tipo sanguíneo, nome do pai, nacionalidade, cidade de nascimento, acrescentar ou alterar o nome social, número de telefone, endereço, além de declarar o óbito da vítima. Também é possível acrescentar dados de certidão de nascimento, casamento e outras.
O acesso também permite alterar os campos de RG e número de inscrição social, além de inserir ou retirar a fotografia que está na ficha.
As pessoas por trás desse esquema são operadores credenciados no sistema, não hackers. Funcionários, dentre eles médicos, associam-se aos criminosos e vendem as senhas.
O repasse dos acessos configura crime de peculato, quando o servidor público se aproveita de sua função para obter uma vantagem indevida, explica Fernanda Prates, advogada e professora da FGV-Rio (Fundação Getulio Vargas).
Além desse crime, o servidor pode ser acusado de inserir ou facilitar a inserção de dados falsos, alterar ou excluir indevidamente informações corretas em bancos de dados da administração pública, que tem pena de 2 a 12 anos e multa.”
[Neste caso] ele não insere os dados diretamente, mas ele facilita que terceiros façam essa modificação”, diz Prates.
A venda de acessos é um esquema conhecido pelas autoridades. Em setembro de 2020, a Polícia Federal realizou uma operação para prender uma pessoa que vendia senhas do CadSUS. A investigação começou em novembro de 2019 e segue em andamento.
No início de novembro, os dados do certificado de vacinação do divulgador científico Átila Iamarino foram alterados na plataforma Conecte SUS, administrada pelo Ministério da Saúde. Na ocasião, a pasta afirmou que um operador credenciado fez as alterações, mas que não se tratava de um servidor.
Danilo Doneda, advogado, professor do IDP (Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa) e membro do Conselho Nacional de Proteção de Dados, afirma que esse é um problema derivado da construção do sistema do SUS. O sistema dá autonomia para os funcionários com o objetivo de aumentar o alcance dos serviços de saúde, mas abre brechas para esse tipo de crime.
Ainda neste ano, houve casos de pessoas politicamente expostas que tiveram seus dados alterados em suas fichas cadastrais no SUS. A deputada federal e presidente do PT Gleisi Hoffmann (PT) e a ex-deputada federal Manuela D’ávila, tiveram seu óbito registrado no sistema.
Acessos com o objetivo de praticar um golpe, porém, tendem a ser mais frequentes.
“Eu imagino que as coisas mais óbvias sejam fraudar sistemas de Previdência e Seguridade Social, e algumas outras coisas que podem ser facilitadas com esse tipo de documentação, como fraudes no sistema financeiro, porque você vai ter um documento com algum tipo de fé pública”, afirma Doneda.
A forma de atuação é semelhante à dos criminosos que realizam a venda dos painéis de consulta, conforme mostrou reportagem anterior da Folha de S.Paulo. Funcionários de órgãos públicos do Senatran, SUS, Polícia Federal, Receita e INSS fornecem acessos que permitem a criação de um banco de dados de brasileiros cadastrados nesses locais. Assim como no cadastro do E-SUS, os painéis permitem apenas a consulta.
Acessos não autorizados aos dados pessoais cadastrados no sistema e as alterações nos cadastros violam a LGPD (Lei Geral de Proteção de Dados).
A legislação obriga os detentores das informações a proteger os dados de acessos indevidos, além de determinar que, em caso de vazamentos, todos os envolvidos sejam comunicados e medidas sejam tomadas para diminuir os danos.
Além disso, o titular dos dados pessoais tem o direito de peticionar contra o controlador perante a ANPD (Autoridade Nacional de Proteção de Dados). Pode também se opor à forma como são tratadas as suas informações.
O Ministério da Saúde declara que encaminhou os conteúdos levantados pela Folha de S.Paulo -vídeos e endereço dos sites dos anúncios- à equipe de Segurança da Informação do DataSUS, “que está tomando as devidas providências para a abertura de processo junto às autoridades competentes e devida investigação”.
A pasta afirma que bloqueia as credenciais do operador responsável sempre que uma irregularidade é notificada e corrige os dados das vítimas de práticas criminosas, além de monitorar de forma constante os sistemas e acessos aos bancos de dados.
FONTE; CLICK PB