A Fiocruz enviou uma nota de esclarecimento ao TecMundo confirmando a vulnerabilidade, mas explicando que o sistema em questão é uma iniciativa de uma unidade da Fiocruz em Rondônia que ainda está em desenvolvimento. Veja, a seguir, o posicionamento na íntegra da Fundação Oswaldo Cruz.

“No dia 12/4/2021 às 17:17 a Fiocruz foi notificada através de um e-mail anônimo sobre uma possível vulnerabilidade em um de seus sistemas. Imediatamente, a área de segurança da informação da Fiocruz iniciou a análise do relatório enviado e confirmou a vulnerabilidade apresentada. O acesso ao sistema foi bloqueado e adotadas as medidas para tratamento do incidente.

O sistema em questão é uma iniciativa de uma unidade da Fiocruz em Rondônia para monitoramento da temperatura de freezers e ainda se encontrava em fase de desenvolvimento, utilizando inclusive registros fictícios em sua base de dados de teste.

Cabe esclarecer que a vulnerabilidade encontrada não guarda qualquer relação com a infraestrutura de tecnologia da informação de Bio-manguinhos, unidade da Fiocruz localizada no Rio de Janeiro e responsável pela produção da vacina de ‘Oxford-AstraZeneca. A unidade de Bio-manguinhos possui uma infraestrutura computacional destinada exclusivamente à produção de vacinas, segue as boas práticas nacionais e internacionais de segurança da informação e passa por frequentes auditorias de diversos organismos de controles.”

Em nota, a Fortinet disse que o incidente não teve nenhuma relação com o sistema de segurança que ela oferece para a Fiocruz. “De acordo com informações preliminares, o acesso ao sistema ocorreu em uma aplicação de testes exposta diretamente à Internet e não houve nenhuma exploração ou falha nas soluções da Fortinet”, diz o comunicado da empresa.

[Original]: Um hacker ético (White Hat) encontrou uma série de vulnerabilidades no sistema de controle de armazenamento de vacinas da Fundação Oswaldo Cruz (Fiocruz), que tem produzido imunizantes da Oxford/AstraZeneca contra a covid-19. A falha pode comprometer o gerenciamento dos insumos, fazendo com que vacinas estraguem e ainda expõe dados de pessoas que trabalham no órgão.

Identificado somente como “Hacker do Bem”, expressão reconhecida na comunidade de cibersegurança em tom de deboche, ele mostrou o passo a passo sobre onde estão os problemas, que podem ser aproveitados por cibercriminosos (Black Hats).

Ele lembrou que esses hackers mal-intencionados estão “criptografando sistemas iguais a estes que estiverem expostos, deletando informações e realizando ataques de Ransomware (resgate de dados, criptografa os sistemas e pedindo bitcoins como resgate) e também gerarem indisponibilidade no sistema”.

Riscos enormes

Os riscos para a Fiocruz existem por causa de um host IP vulnerável, sendo que é possível acessá-lo diretamente pela internet. O acesso leva direto ao sistema de controle de armazenamento de vacinas. Com a entrada garantida, um cibercriminoso pode:

  • Ver informações de dispositivos como os freezers que refrigeram as vacinas e realizam as medições.
  • Acessar informações das estufas e freezers para deletar vários controles;
  • Deletar mecanismos de controle que detectam e alertam variações de temperatura e garantem que as vacinas e medicamentos não estraguem.
  • Acessar e apagar informações confidenciais como e-mails e telefones de profissionais que trabalham na Fiocruz.
  • Desligar eventos de monitoramento e alertas críticos.
  • Editar informações como e-mails para receber alertas no lugar dos administradores do sistema.
  • O hacker mostrou também que mesmo com mecanismos de segurança e firewall Fortinet é possível acessar o sistema. Além dos mecanismos de temperatura, até mesmo sensores de umidade e lâmpadas podem ser acessados a partir dessas falhas.

Recomendações

O “Hacker do Bem” enviou um e-mail para Fiocruz, que o TecMundo teve acesso, expondo a situação. Na mensagem eletrônica ele lembra que a pandemia tornou sistemas assim muito críticos e alvos de cibercriminosos.

Ele disse que não está disposto a violar o canal ou causar dano, mas dado que “vidas estão em jogo”, ele achou ético e prudente avisar a Fundação sobre as falhas.

“Em respeito aos profissionais de tecnologia de vocês, gostaria de pedir o bom senso e compreensão de todos e que o departamento de Tecnologia responsável pelo sistema não seja ‘apedrejado’ e de forma alguma penalizado, pois falhas ocorrem e falhas assim são difíceis de serem encontradas. Peço que apenas informá-los para que as falhas sejam corrigidas”, reiterou no e-mail.

Fonte: Tecmundo

Fique por dentro do que acontece no mundo da tecnologia. Continue acompanhando nossas notícias!