Se il covid-19 non avesse causato già abbastanza drammi al Brasile, uno tra i Paesi più colpiti dalla pandemia, ora spunta fuori la notizia (certo meno drammatica, ma ugualmente preoccupante) di una violazione di privacy ai danni di 16 milioni di persone che avevano eseguito il tampone per il coronavirus o erano state ricoverate in ospedale per sintomi gravi. Come è successo? Nessun data breach frutto di attacchi informatici, ma piuttosto la sconsiderata condotta di un dipendente dell’ospedale Israelita Albert Einstein di San Paolo, il quale ha pubblicato online le credenziali di accesso a diversi database, tra cui due gestiti dal governo e contenenti dati personali e sanitari.
Il dipendente ospedaliero responsabile della violazione ha pubblicato su GitHub, la popolare piattaforma open source per sviluppatori, un documento contenente username e password necessari per accedere a questi altri archivi protetti. Un utente, accortosi del fatto, ha contattato la testata brasiliana Estadao, la quale ha potuto verificare che si trattava di dati reali. A quel punto è stato allertato il ministero della Salute brasiliano, che ha chiesto la rimozione del documento pubblicato su GitHub e la modifica delle credenziali d’accesso ai database.
La violazioni di privacy più grave riguarda due sistemi, E-sus-ve e Sivep-Gripe, contenenti dati sul covid-19: il primo serve al governo brasiliano per archiviare i dati di persone con sintomi lievi, il secondo per tenere traccia dei pazienti ospedalizzati. La massa di dati inclusi in questi archivi include nomi e cognomi, numeri di carta d’identità, indirizzi e informazioni sanitarie (come la storia clinica e le prescrizioni farmacologiche) di 16 milioni di cittadini residenti in 27 regioni del Paese. Nell’elenco, oltre a sette ministri e a varie figure governative, c’è anche il presidente (ex negazionista, oggi fortemente critico verso il vaccino) Jair Bolsonaro, colpito in prima persona dal coronavirus nel mese di luglio.