Hacker descobre vulnerabilidades no sistema de controle de vacinas da Fiocruz - OSTEC

This post is also available in: Português

Um hacker, identificado apenas como “Hacker do Bem”, encontrou vulnerabilidades no sistema de controle de armazenamento de vacinas da Fundação Oswaldo Cruz (Fiocruz), que tem produzido imunizantes da Oxford/AstraZeneca contra a COVID-19.

O pesquisador misterioso enviou um relatório para a Fiocruz, mostrando o passo a passo de onde estavam as falhas. Segundo ele, um servidor da fundação estava aberto, podendo ser rastreado na web e levando o invasor ao sistema interno de gerenciamento de vacinas.

O banco de dados estava protegido com sistemas de segurança e um firewall, porém, não eram suficientes para proteger de uma invasão, e até mesmo um cibercriminoso sem um conhecimento profundo conseguiria invadir o sistema utilizando técnicas “bypass”

Caso um cribercriminoso invadisse o sistema, ele poderia ter acesso a:

Informações de dispositivos de armazenamento das vacinas;
Mecanismos de controle que detectam e alertam variações de temperatura;
Informações confidenciais, como e-mails e telefones de profissionais da Fiocruz.

Além de ter acesso às informações, o invasor poderia realizar alterações no sistema, desligar o monitoramento e alertas e ainda editar informações. Até mesmo sensores de umidade e lâmpadas poderiam ser acessadas a partir dessas falhas.

Controles do sistema. Imagem: reprodução/”hacker do bem”

Hackers éticos, como este “Hacker do Bem”, exploram falhas em sistemas e entram em contato com seus responsáveis para alertá-los dos riscos que eles correm. O intuito deles não é violar, causar dano ou tirar proveito dessas falhas. E foi isso que o pesquisador anônimo fez. Além disso, ele disse no e-mail enviado a Fiocruz:

“Em respeito aos profissionais de tecnologia de vocês, gostaria de pedir o bom senso e compreensão de todos e que o departamento de Tecnologia responsável pelo sistema não seja ‘apedrejado’ e de forma alguma penalizado, pois falhas ocorrem e falhas assim são difíceis de serem encontradas. Peço que apenas os informem para que as falhas sejam corrigidas”.

Lista de informações pessoais dos colaboradores, enviadas pelo hacker. Imagem: reprodução/”hacker do bem”

A Fiocruz já corrigiu as vulnerabilidades apontadas pelo hacker. Ao que parece, não foram exploradas por ninguém. Porém, caso um cibercriminoso tivesse explorado essas falhas, poderia ter causado um grande estrago.

Ele poderia vir a comprometer um carregamento inteiro de insumos, por exemplo, desconfigurando freezers que armazenam a matéria-prima. Isso impactaria diretamente na população brasileira.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Pacote falso do Browserify npm esconde um novo malware para Linux e macOS

Crackers que invadiram a Capcom exploraram uma antiga VPN no ataque

Cadastre-se em nossa newsletter