Registro de Incidentes com Dados Pessoais
Período do incidente | Natureza dos dados potencialmente expostos | Comunicação do incidente aos titulares de dados | |
---|---|---|---|
SCPA | 27/11/2021 a 04/05/2022 | Foi identificado risco de acesso indevido ao SCPA. A referida falha permitiria a consulta individual, a partir do número do CPF, aos seguintes dados pessoais: nome completo, endereço, telefone, data de nascimento, nome da mãe e cartão nacional de saúde (CNS). | O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD), comunica aos titulares que, ao tomar conhecimento do incidente de segurança envolvendo risco de acesso indevido a dados pessoais, desabilitou emergencialmente a aplicação e realizou manutenção corretiva na falha identificada. Não houve comprovação de efetivo acesso indevido ao sistema e, consequentemente, aos dados cadastrais. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR. |
CADSUS | 22/04/2019 a 29/06/2022 | Foi identificado possível vazamento de uma credencial do sistema CADSUS, que expôs dados demográficos. A referida falha permitiria acesso aos seguintes dados pessoais: CPF; nome; nome social; nome da mãe; nome do pai; sexo; raça/cor; etnia indígena; data de nascimento; tipo sanguíneo; data de óbito; justificativa do preenchimento da data de óbito; nacionalidade; país de nascimento; município de nascimento; e data de naturalização, portaria de naturalização e data de entrada no Brasil. | O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD), comunica aos titulares que, ao tomar conhecimento do incidente de segurança envolvendo possível vazamento de credencial de acesso ao sistema, bloqueou a referida credencial e criou novo usuário e nova senha para uso pela aplicação eSUS APS. Ressalte-se que não houve identificação dos CPFs expostos pela falha na segurança. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR. |
e-SUS Notifica e CADSUS | 04/11/2022 | Foi constatada a ocorrência de possível crime cibernético relativo à venda ilegal de bases de dados administrativas oriundas de sistemas governamentais, dentre eles o CADSUS - Sistema de Cadastramento de Usuários do Sistema Único de Saúde e os dados de imunização do e-sus Notifica. Em análise preliminar das bases de dados e informações expostas, não foi possível afirmar se as bases e as informações comercializadas ilegalmente são atualizadas ou antigas. | O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD) comunica aos titulares que, ao tomar conhecimento do incidente de segurança envolvendo o possível crime cibernético, bloqueou imediatamente os usuários do serviço e-SUS Notifica e Cadsus, possivelmente utilizados pelos criminosos para acessar o banco de dados. Ressalte-se que, até o momento, não houve identificação dos CPF’s expostos em decorrência da atividade ilícita, bem como prejuízo aos titulares. Por envolver possível crime cibernético e estar relacionado a bases de diferentes órgãos públicos, o Ministério da Saúde comunicou o incidente à Polícia Federal, ao Gabinete de Segurança Institucional e à Secretaria de Governo Digital, do Ministério da Economia. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR. |