Um hacker ético (White Hat) encontrou uma série de vulnerabilidades no sistema de controle de armazenamento de vacinas da Fundação Oswaldo Cruz (Fiocruz), que tem produzido imunizantes da Oxford/AstraZeneca contra a covid-19. A falha pode comprometer o gerenciamento dos insumos, fazendo com que vacinas estraguem e ainda expõe dados de pessoas que trabalham no órgão.
Identificado somente como “Hacker do Bem”, expressão reconhecida na comunidade de cibersegurança em tom de deboche, ele mostrou o passo a passo sobre onde estão os problemas, que podem ser aproveitados por cibercriminosos (Black Hats).
Ele lembrou que esses hackers mal-intencionados estão “criptografando sistemas iguais a estes que estiverem expostos, deletando informações e realizando ataques de Ransomware (resgate de dados, criptografa os sistemas e pedindo bitcoins como resgate) e também gerarem indisponibilidade no sistema”.
Riscos enormes
Os riscos para a Fiocruz existem por causa de um host IP vulnerável, sendo que é possível acessá-lo diretamente pela internet. O acesso leva direto ao sistema de controle de armazenamento de vacinas. Com a entrada garantida, um cibercriminoso pode:
- Ver informações de dispositivos como os freezers que refrigeram as vacinas e realizam as medições.
- Acessar informações das estufas e freezers para deletar vários controles;
- Deletar mecanismos de controle que detectam e alertam variações de temperatura e garantem que as vacinas e medicamentos não estraguem.
- Acessar e apagar informações confidenciais como e-mails e telefones de profissionais que trabalham na Fiocruz.
- Desligar eventos de monitoramento e alertas críticos.
- Editar informações como e-mails para receber alertas no lugar dos administradores do sistema.
O hacker mostrou também que mesmo com mecanismos de segurança e firewall Fortinet é possível acessar o sistema. Além dos mecanismos de temperatura, até mesmo sensores de umidade e lâmpadas podem ser acessados a partir dessas falhas.
Recomendações
O “Hacker do Bem” enviou um e-mail para Fiocruz, que o TecMundo teve acesso, expondo a situação. Na mensagem eletrônica ele lembra que a pandemia tornou sistemas assim muito críticos e alvos de cibercriminosos.
Ele disse que não está disposto a violar o canal ou causar dano, mas dado que “vidas estão em jogo”, ele achou ético e prudente avisar a Fundação sobre as falhas.
“Em respeito aos profissionais de tecnologia de vocês, gostaria de pedir o bom senso e compreensão de todos e que o departamento de Tecnologia responsável pelo sistema não seja ‘apedrejado’ e de forma alguma penalizado, pois falhas ocorrem e falhas assim são difíceis de serem encontradas. Peço que apenas informá-los para que as falhas sejam corrigidas”, reiterou no e-mail.
Do Tecmundo.