Um mero acaso levou à descoberta de uma falha num site da Direção-Geral da Saúde que permitia extrair dados pessoais detalhados da população portuguesa. Nomes pessoais, moradas, datas de nascimento e números de contribuinte estiveram expostos — não se sabe por quanto tempo, nem se essa falha foi explorada por alguém e se os dados foram usados.

A notícia avançada pelo Público esta segunda-feira dá nota de que a vulnerabilidade foi detectada no site do Sistema Nacional de Vigilância Epidemiológica (Sinave) que foi criado em 2014 para tentar descobrir a tempo o risco de surtos e de situações de perigo para a saúde pública.

É ali que têm de ser registadas doenças de “declaração obrigatória”, como VIH/Sida e tuberculose, ou mais recentemente casos de Covid-19 e resultados desses testes.

PJ vai encetar esforços para protocolar acesso a outras bases de dados

PUB • CONTINUE A LER A SEGUIR

E foi nesta plataforma que um programador português encontrou, por mero acaso, o erro que expunha a informação, bastando colocar mais uns caracteres no URL do site. Entretanto, confirmou o Público, a falha já foi corrigida, poucos dias depois de o Centro Nacional de Cibersegurança ter sido alertado para o caso, em março.

Esta segunda-feira, na RTP, a diretora-geral da Saúde, Graça Freitas, comentou o caso dizendo “não saber exatamente” quantas pessoas poderão ter sido afetadas caso a falha tenha sido explorada, e recordando que “muitas destas bases de dados são anonimizadas” — coisa que, segundo a notícia do Público, não se aplica a esta plataforma.

“De qualquer maneira”, reconheceu Graça Freitas, “é uma preocupação, um problema de segurança”. E quis deixar uma palavra de “descanso” à população, lembrando que o problema foi, neste caso, resolvido rapidamente.

Apesar de a situação estar resolvida, uma coisa é certa: não se sabe, como explica o jornal, se alguém aproveitou a exposição dos dados durante o tempo — que também é indeterminado — em que a falha existiu. Estes dados podem ser usados para como mercadoria para vender a empresas de publicidade ou até na dark web.

Texto atualizado às 9h07 com as declarações de Graça Freitas.