Registro de Incidentes com Dados Pessoais

	Período do incidente	Natureza dos dados potencialmente expostos	Comunicação do incidente aos titulares de dados
SCPA Atualizado em 28/08/2024, em cumprimento ao Despacho Decisório nº 19/2024/ FIS/CGF, de 07/08/2024, da Autoridade Nacional de Proteção de Dados	27/11/2021 a 04/05/2022	Foi identificado risco de acesso indevido ao Sistema de Cadastro e Permissão de Acesso (SCPA). A referida falha permitiria a consulta individual, a partir do número do CPF, aos seguintes dados pessoais: Unidade administrativa; data nascimento; nome mãe; CPF; número título eleitor; sexo; situação estrangeiro; situação residente exterior; tipo sexo; tipo situação CPF; município IBGE; data atualização RFB; data processamento; nome bairro; nome logradouro; nome município; nome; número CEP; número logradouro; sigla UF; situação registro ativo.	O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD), comunica aos titulares que, ao tomar conhecimento do incidente de segurança desabilitou emergencialmente a aplicação e realizou manutenção corretiva na falha identificada. Foram implementadas medidas adicionais de segurança para proteger os dados, relacionadas a controles de acesso e verificação de vulnerabilidades. Em agosto de 2024, o SCPA passou a utilizar o Múltiplo Fator de Autenticação (MFA) e tornou obrigatória a troca de senha a cada 3 (três) meses. Para a verificação de vulnerabilidades, é utilizada a ferramenta Tenable, que engloba a identificação de ativos; avaliação de riscos; escaneamento, análise, classificação e correção de vulnerabilidades; monitoramento contínuo; além de produzir relatórios e documentação. O Datasus também realiza testes de penetração (pentests), que são simulações controladas de ataques cibernéticos, destinadas a identificar e explorar vulnerabilidades em sistemas, redes e aplicativos, de modo a identificar e corrigir preventivamente falhas de segurança, garantindo conformidade com normas e regulamentos. Os seguintes riscos relacionados ao incidente foram verificados, com possíveis impactos aos titulares: (a) risco de impedir ou limitar que os titulares tenham seu devido acesso à conta do sistema; (b) risco de dano em situações como discriminação e perturbações por fraudes em processos de autenticação ou validação de identidade em serviços específicos. A comunicação inicial do incidente aos titulares ocorreu em 16 de setembro de 2022. A demora na comunicação foi resultado do tempo necessário para detectar e confirmar o incidente, realizar investigações internas, com envolvimento de diversas áreas, implementar medidas de contenção, bem como pela não comprovação de efetivo acesso indevido ao sistema e aos dados cadastrais que indicassem, a princípio, a possibilidade de ocorrência de dano relevante. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR.
CADSUS	22/04/2019 a 29/06/2022	Foi identificado possível vazamento de uma credencial do sistema CADSUS, que expôs dados demográficos. A referida falha permitiria acesso aos seguintes dados pessoais: CPF; nome; nome social; nome da mãe; nome do pai; sexo; raça/cor; etnia indígena; data de nascimento; tipo sanguíneo; data de óbito; justificativa do preenchimento da data de óbito; nacionalidade; país de nascimento; município de nascimento; e data de naturalização, portaria de naturalização e data de entrada no Brasil.	O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD), comunica aos titulares que, ao tomar conhecimento do incidente de segurança envolvendo possível vazamento de credencial de acesso ao sistema, bloqueou a referida credencial e criou novo usuário e nova senha para uso pela aplicação eSUS APS. Ressalte-se que não houve identificação dos CPFs expostos pela falha na segurança. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR.
e-SUS Notifica e CADSUS	04/11/2022	Foi constatada a ocorrência de possível crime cibernético relativo à venda ilegal de bases de dados administrativas oriundas de sistemas governamentais, dentre eles o CADSUS - Sistema de Cadastramento de Usuários do Sistema Único de Saúde e os dados de imunização do e-sus Notifica. Em análise preliminar das bases de dados e informações expostas, não foi possível afirmar se as bases e as informações comercializadas ilegalmente são atualizadas ou antigas.	O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD) comunica aos titulares que, ao tomar conhecimento do incidente de segurança envolvendo o possível crime cibernético, bloqueou imediatamente os usuários do serviço e-SUS Notifica e Cadsus, possivelmente utilizados pelos criminosos para acessar o banco de dados. Ressalte-se que, até o momento, não houve identificação dos CPF’s expostos em decorrência da atividade ilícita, bem como prejuízo aos titulares. Por envolver possível crime cibernético e estar relacionado a bases de diferentes órgãos públicos, o Ministério da Saúde comunicou o incidente à Polícia Federal, ao Gabinete de Segurança Institucional e à Secretaria de Governo Digital, do Ministério da Economia. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR

Período do incidente	Natureza dos dados potencialmente expostos	Comunicação do incidente aos titulares de dados
27/11/2021 a 04/05/2022 SCPA Atualizado em 28/08/2024, em cumprimento ao Despacho Decisório nº 19/2024/FIS/CGF, de 07/08/2024, da Autoridade Nacional de Proteção de Dados	Foi identificado risco de acesso indevido ao Sistema de Cadastro e Permissão de Acesso (SCPA). A referida falha permitiria a consulta individual, a partir do número do CPF, aos seguintes dados pessoais: Unidade administrativa; data nascimento; nome mãe; CPF; número título eleitor; sexo; situação estrangeiro; situação residente exterior; tipo sexo; tipo situação CPF; município IBGE; data atualização RFB; data processamento; nome bairro; nome logradouro; nome município; nome; número CEP; número logradouro; sigla UF; situação registro ativo.	O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD), comunica aos titulares que, ao tomar conhecimento do incidente de segurança desabilitou emergencialmente a aplicação e realizou manutenção corretiva na falha identificada. Foram implementadas medidas adicionais de segurança para proteger os dados, relacionadas a controles de acesso e verificação de vulnerabilidades. Em agosto de 2024, o SCPA passou a utilizar o Múltiplo Fator de Autenticação (MFA) e tornou obrigatória a troca de senha a cada 3 (três) meses. Para a verificação de vulnerabilidades, é utilizada a ferramenta Tenable, que engloba a identificação de ativos; avaliação de riscos; escaneamento, análise, classificação e correção de vulnerabilidades; monitoramento contínuo; além de produzir relatórios e documentação. O Datasus também realiza testes de penetração (pentests), que são simulações controladas de ataques cibernéticos, destinadas a identificar e explorar vulnerabilidades em sistemas, redes e aplicativos, de modo a identificar e corrigir preventivamente falhas de segurança, garantindo conformidade com normas e regulamentos. Os seguintes riscos relacionados ao incidente foram verificados, com possíveis impactos aos titulares: (a) risco de impedir ou limitar que os titulares tenham seu devido acesso à conta do sistema; (b) risco de dano em situações como discriminação e perturbações por fraudes em processos de autenticação ou validação de identidade em serviços específicos. A comunicação inicial do incidente aos titulares ocorreu em 16 de setembro de 2022. A demora na comunicação foi resultado do tempo necessário para detectar e confirmar o incidente, realizar investigações internas, com envolvimento de diversas áreas, implementar medidas de contenção, bem como pela não comprovação de efetivo acesso indevido ao sistema e aos dados cadastrais que indicassem, a princípio, a possibilidade de ocorrência de dano relevante. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR.
22/04/2019 a 29/06/2022 CADSUS	Foi identificado possível vazamento de uma credencial do sistema CADSUS, que expôs dados demográficos. A referida falha permitiria acesso aos seguintes dados pessoais: CPF; nome; nome social; nome da mãe; nome do pai; sexo; raça/cor; etnia indígena; data de nascimento; tipo sanguíneo; data de óbito; justificativa do preenchimento da data de óbito; nacionalidade; país de nascimento; município de nascimento; e data de naturalização, portaria de naturalização e data de entrada no Brasil.	O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD), comunica aos titulares que, ao tomar conhecimento do incidente de segurança envolvendo possível vazamento de credencial de acesso ao sistema, bloqueou a referida credencial e criou novo usuário e nova senha para uso pela aplicação eSUS APS. Ressalte-se que não houve identificação dos CPFs expostos pela falha na segurança. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR.
04/11/2022 e-SUS Notifica e CADSUS	Foi constatada a ocorrência de possível crime cibernético relativo à venda ilegal de bases de dados administrativas oriundas de sistemas governamentais, dentre eles o CADSUS - Sistema de Cadastramento de Usuários do Sistema Único de Saúde e os dados de imunização do e-sus Notifica. Em análise preliminar das bases de dados e informações expostas, não foi possível afirmar se as bases e as informações comercializadas ilegalmente são atualizadas ou antigas.	O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD) comunica aos titulares que, ao tomar conhecimento do incidente de segurança envolvendo o possível crime cibernético, bloqueou imediatamente os usuários do serviço e-SUS Notifica e Cadsus, possivelmente utilizados pelos criminosos para acessar o banco de dados. Ressalte-se que, até o momento, não houve identificação dos CPF’s expostos em decorrência da atividade ilícita, bem como prejuízo aos titulares. Por envolver possível crime cibernético e estar relacionado a bases de diferentes órgãos públicos, o Ministério da Saúde comunicou o incidente à Polícia Federal, ao Gabinete de Segurança Institucional e à Secretaria de Governo Digital, do Ministério da Economia. Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR

SCPA
Período do incidente

27/11/2021 a 04/05/2022

Atualizado em 28/08/2024,
em cumprimento
ao Despacho Decisório nº 19/2024/FIS/CGF, de 07/08/2024,
da Autoridade Nacional de Proteção de
Dados

Natureza dos dados potencialmente expostos

Foi identificado risco de acesso indevido ao Sistema de Cadastro e Permissão de Acesso (SCPA). A referida falha permitiria a consulta individual, a partir do número do CPF, aos seguintes dados pessoais: Unidade administrativa; data nascimento; nome mãe; CPF; número título eleitor; sexo; situação estrangeiro; situação residente exterior; tipo sexo; tipo situação CPF; município IBGE; data atualização RFB; data processamento; nome bairro; nome logradouro; nome município; nome; número CEP; número logradouro; sigla UF; situação registro ativo.

Comunicação do incidente aos titulares de dados

O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD), comunica aos titulares que, ao tomar conhecimento do incidente de segurança desabilitou emergencialmente a aplicação e realizou manutenção corretiva na falha identificada. Foram implementadas medidas adicionais de segurança para proteger os dados, relacionadas a controles de acesso e verificação de vulnerabilidades. Em agosto de 2024, o SCPA passou a utilizar o Múltiplo Fator de Autenticação (MFA) e tornou obrigatória a troca de senha a cada 3 (três) meses. Para a verificação de vulnerabilidades, é utilizada a ferramenta Tenable, que engloba a identificação de ativos; avaliação de riscos; escaneamento, análise, classificação e correção de vulnerabilidades; monitoramento contínuo; além de produzir relatórios e documentação. O Datasus também realiza testes de penetração (pentests), que são simulações controladas de ataques cibernéticos, destinadas a identificar e explorar vulnerabilidades em sistemas, redes e aplicativos, de modo a identificar e corrigir preventivamente falhas de segurança, garantindo conformidade com normas e regulamentos.
Os seguintes riscos relacionados ao incidente foram verificados, com possíveis impactos aos titulares:
(a) risco de impedir ou limitar que os titulares tenham seu devido acesso à conta do sistema; (b) risco de dano em situações como discriminação e perturbações por fraudes em processos de autenticação ou validação de identidade em serviços específicos. A comunicação inicial do incidente aos titulares ocorreu em 16 de setembro de 2022. A demora na comunicação foi resultado do tempo necessário para detectar e confirmar o incidente, realizar investigações internas, com envolvimento de diversas áreas, implementar medidas de contenção, bem como pela não comprovação de efetivo acesso indevido ao sistema e aos dados cadastrais que indicassem, a princípio, a possibilidade de ocorrência de dano relevante.

Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR.

CADSUS
Período do incidente

22/04/2019 a 29/06/2022

Natureza dos dados potencialmente expostos

Foi identificado possível vazamento de uma credencial do sistema CADSUS, que expôs dados demográficos.

A referida falha permitiria acesso aos seguintes dados pessoais: CPF; nome; nome social; nome da mãe; nome do pai; sexo; raça/cor; etnia indígena; data de nascimento; tipo sanguíneo; data de óbito; justificativa do preenchimento da data de óbito; nacionalidade; país de nascimento; município de nascimento; e data de naturalização, portaria de naturalização e data de entrada no Brasil.

Comunicação do incidente aos titulares de dados

O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD), comunica aos titulares que, ao tomar conhecimento do incidente de segurança envolvendo possível vazamento de credencial de acesso ao sistema, bloqueou a referida credencial e criou novo usuário e nova senha para uso pela aplicação eSUS APS.

Ressalte-se que não houve identificação dos CPFs expostos pela falha na segurança.

Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR.

e-SUS Notifica e CADSUS
Período do incidente

04/11/2022

Natureza dos dados potencialmente expostos

Foi constatada a ocorrência de possível crime cibernético relativo à venda ilegal de bases de dados administrativas oriundas de sistemas governamentais, dentre eles o CADSUS - Sistema de Cadastramento de Usuários do Sistema Único de Saúde e os dados de imunização do e-sus Notifica.

Em análise preliminar das bases de dados e informações expostas, não foi possível afirmar se as bases e as informações comercializadas ilegalmente são atualizadas ou antigas.

Comunicação do incidente aos titulares de dados

O Ministério da Saúde, em cumprimento ao disposto no art. 48 da Lei 13.709/2018 (LGPD) comunica aos titulares que, ao tomar conhecimento do incidente de segurança envolvendo o possível crime cibernético, bloqueou imediatamente os usuários do serviço e-SUS Notifica e Cadsus, possivelmente utilizados pelos criminosos para acessar o banco de dados.

Ressalte-se que, até o momento, não houve identificação dos CPF’s expostos em decorrência da atividade ilícita, bem como prejuízo aos titulares.

Por envolver possível crime cibernético e estar relacionado a bases de diferentes órgãos públicos, o Ministério da Saúde comunicou o incidente à Polícia Federal, ao Gabinete de Segurança Institucional e à Secretaria de Governo Digital, do Ministério da Economia.

Caso queira solicitar mais informações referentes ao incidente de segurança, acesse a Plataforma Fala.BR

Ouvidoria Geral do SUS

Teleatendente: de segunda-feira
a sexta-feira, das 8h às 20h,
e aos sábados, das 8h às 18h.