Uma falha de segurança que afeta mais de cem mil cidadãos portugueses voltou a colocar o Serviço Nacional de Saúde no centro das atenções. Desta vez, não se trata de uma intrusão direta nos sistemas do SNS, mas de algo igualmente preocupante: credenciais de acesso roubadas que circulam em fóruns ilegais na internet, expondo dados pessoais e de saúde de uma escala considerável.
O que aconteceu exatamente
Para perceber a dimensão do problema, vale a pena usar uma comparação simples. Pensemos numa chave de casa. Se alguém conseguir uma cópia da nossa chave sem que nos apercebamos, pode entrar quando quiser, sem forçar a porta, sem deixar marcas visíveis. É precisamente isto que acontece com credenciais roubadas: não existe arrombamento, existe acesso legítimo com dados ilegítimos.
Neste caso, investigadores de cibersegurança identificaram um volume expressivo de combinações de nome de utilizador e palavra passe associadas ao portal do SNS a circular em bases de dados conhecidas como “stealer logs”. Estes registos são gerados por software malicioso instalado nos dispositivos das vítimas, muitas vezes sem qualquer indicação visível de infeção.
Porque é que os dados de saúde são especialmente sensíveis
Ao contrário de uma palavra passe de uma rede social, que pode ser alterada com relativa facilidade, os dados médicos têm uma característica permanente. O historial clínico, as prescrições, os episódios de urgência ou os diagnósticos registados no portal do SNS não se apagam com um simples clique. A sua exposição pode ter consequências que vão desde a discriminação em contextos profissionais até ao uso indevido de informação para fins de chantagem ou fraude.
Existe ainda um risco menos óbvio mas igualmente real: a reutilização de credenciais. Muitos utilizadores usam a mesma palavra passe em vários serviços. Quando uma combinação de email e palavra passe é comprometida num portal, os atacantes testam automaticamente essas mesmas credenciais noutros serviços, desde a banca online ao correio eletrónico.
Como verificar se os dados foram comprometidos
A primeira ferramenta a consultar é o serviço “Have I Been Pwned”, disponível em haveibeenpwned.com. Basta introduzir o endereço de email associado ao portal do SNS para verificar se esse endereço aparece em alguma das bases de dados de fugas conhecidas. O serviço é gratuito, independente e amplamente reconhecido pela comunidade de cibersegurança internacional.
Adicionalmente, os utilizadores podem consultar o portal do SNS diretamente e verificar se existem acessos ou alterações que não reconhecem. Qualquer atividade suspeita deve ser reportada aos serviços de apoio ao utente e, em paralelo, ao Centro Nacional de Cibersegurança, que mantém canais de denúncia acessíveis ao público em cncs.gov.pt.
O que fazer de imediato
A prioridade número um é alterar a palavra passe do portal do SNS, escolhendo uma combinação longa, única e que não seja usada em nenhum outro serviço. Uma boa prática, cada vez mais recomendada, é o uso de um gestor de palavras passe, uma ferramenta que cria e armazena credenciais complexas de forma segura, eliminando a necessidade de as memorizar.
Sempre que disponível, a autenticação de dois fatores deve ser ativada. Este mecanismo funciona como uma segunda fechadura na porta: mesmo que alguém tenha a chave, precisa ainda de um segundo elemento, geralmente um código enviado para o telemóvel, para conseguir entrar.
A responsabilidade é partilhada
Seria injusto colocar toda a responsabilidade nos utilizadores. As instituições que gerem dados sensíveis têm obrigações claras ao abrigo do Regulamento Geral sobre a Proteção de Dados, nomeadamente a notificação atempada dos afetados e a implementação de medidas técnicas que limitem o impacto de fugas deste tipo. A Comissão Nacional de Proteção de Dados tem competência para investigar e aplicar sanções quando essas obrigações não são cumpridas.
Do lado dos utilizadores, a melhor defesa continua a ser a higiene digital preventiva: palavras passe únicas, autenticação reforçada e atenção redobrada a comunicações não solicitadas que peçam dados pessoais ou de acesso.
Fonte: Notícia Original
