Geral 2min de Leitura

Hacker descobre vulnerabilidades no sistema de controle de vacinas da Fiocruz

Fachada empresa Fiocruz Ceará

This post is also available in: Português

Um hacker, identificado apenas como “Hacker do Bem”, encontrou vulnerabilidades no sistema de controle de armazenamento de vacinas da Fundação Oswaldo Cruz (Fiocruz), que tem produzido imunizantes da Oxford/AstraZeneca contra a COVID-19.

O pesquisador misterioso enviou um relatório para a Fiocruz, mostrando o passo a passo de onde estavam as falhas. Segundo ele, um servidor da fundação estava aberto, podendo ser rastreado na web e levando o invasor ao sistema interno de gerenciamento de vacinas.

O banco de dados estava protegido com sistemas de segurança e um firewall, porém, não eram suficientes para proteger de uma invasão, e até mesmo um cibercriminoso sem um conhecimento profundo conseguiria invadir o sistema utilizando técnicas “bypass”

Caso um cribercriminoso invadisse o sistema, ele poderia ter acesso a:

  • Informações de dispositivos de armazenamento das vacinas;
  • Mecanismos de controle que detectam e alertam variações de temperatura;
  • Informações confidenciais, como e-mails e telefones de profissionais da Fiocruz.

Além de ter acesso às informações, o invasor poderia realizar alterações no sistema, desligar o monitoramento e alertas e ainda editar informações. Até mesmo sensores de umidade e lâmpadas poderiam ser acessadas a partir dessas falhas.

Captura de tela sistema Fiocruz
Controles do sistema. Imagem: reprodução/”hacker do bem”

Hackers éticos, como este “Hacker do Bem”, exploram falhas em sistemas e entram em contato com seus responsáveis para alertá-los dos riscos que eles correm. O intuito deles não é violar, causar dano ou tirar proveito dessas falhas. E foi isso que o pesquisador anônimo fez. Além disso, ele disse no e-mail enviado a Fiocruz:

“Em respeito aos profissionais de tecnologia de vocês, gostaria de pedir o bom senso e compreensão de todos e que o departamento de Tecnologia responsável pelo sistema não seja ‘apedrejado’ e de forma alguma penalizado, pois falhas ocorrem e falhas assim são difíceis de serem encontradas. Peço que apenas os informem para que as falhas sejam corrigidas”.

Captura de tela e-mail hacker
Lista de informações pessoais dos colaboradores, enviadas pelo hacker. Imagem: reprodução/”hacker do bem”

A Fiocruz já corrigiu as vulnerabilidades apontadas pelo hacker. Ao que parece, não foram exploradas por ninguém. Porém, caso um cibercriminoso tivesse explorado essas falhas, poderia ter causado um grande estrago.

Ele poderia vir a comprometer um carregamento inteiro de insumos, por exemplo, desconfigurando freezers que armazenam a matéria-prima. Isso impactaria diretamente na população brasileira.

This post is also available in: Português