2019/05/22

Área de cidadão SNS está a mostrar dados de outros utentes


Parece haver mais um caso preocupante nos serviços digitais do estado, desta vez com o site do Serviço Nacional de Saúde a expor dados de outros utentes.

O caso foi-nos relatado já por vários leitores, que ao entrarem na área de cidadão do SNS utilizando as suas credenciais de acesso (Chave Móvel Digital), foram confrontados com dados referentes a outros utentes. A situação seria preocupante por si só - afinal, se não pudermos confiar nos serviços digitais do estado, em quais poderemos confiar? - mas torna-se ainda mais grave por se tratar de uma falha que já terá sido reportada há mais de um ano e que, como fica demonstrado, permanece por corrigir!



A situação já foi reportada novamente, esperando-se que desta vez resulte na correcção desta falha. Mas até lá, ficará a suspeita de quantos utentes terão tido os seus dados expostos a desconhecidos que tentavam aceder à sua própria área de cidadão.

Ainda por cima, nem sequer se pode pressioná-los com o RGPD, já que as entidades do estado estão isentas de tais obrigações... A preocupação com a privacidade dos utilizadores é tanta, que deixa de fora as entidades que mais responsabilidade teriam em manter os dados dos utilizadores seguros.


Actualização: resposta do SNS:
Informamos que no âmbito da transformação digital e do reforço da segurança, a autenticação da Área do Cidadão do Portal SNS passou a ser feita exclusivamente através de Chave Móvel Digital (CMD) e do Cartão de Cidadão (CC), desde do passado dia 20 de Maio.
Esta alteração provocou um aumento significativo de acessos que conduziu ao constrangimento técnico, que originou a situação por si reportada. De imediato, a SPMS procedeu à implementação de medidas adicionais destinadas a melhorar e otimizar a capacidade de resposta do sistema. A situação encontra-se resolvida.
Num processo de melhoria continua, a SPMS continua empenhada em trabalhar para garantir o acesso de qualidade aos serviços digitais do SNS.

9 comentários:

  1. Já nem temos acesso à área do cidadão, está para manutenção!

    ResponderEliminar
  2. A questão é se dados de utilizadores que nunca utilizaram o portal também poderão ter tido os seus dados expostos e quão sensivel era a informação que era mostrada e até se a informação mostrada correspondia integralmente à de uma unica pessoa ou a de várias.
    mais uma vez é a demonstração que os serviços digitais governamentais são só fogo de vista e com graves problemas. Felizmente existe quem os investigue e os reporte em lugar de apenas tentar tirar partido de tais falhas

    ResponderEliminar
    Respostas
    1. Eu tive acesso a qualquer dos dados do tal Paulo, e como o portal considera a CND e Cartão de Cidadão como autenticação "segura" tinha acesso a todos os dados clínicos, consultas, guias de tratamento, testamento vital.... Basicamente deram-me acesso (caso quisesse) a todos os dados sensíveis desse sujeito

      Eliminar
  3. Não tenho ideia que o RGPD não se aplique por serem serviços do estado... Havia uma proposta de legislação nesse sentido, mas teve um parecer desfavorável da CNPD. Aliás, creio que já houve um hospital público a ser multado no âmbito do RGPD...

    ResponderEliminar
    Respostas
    1. Foi o hospital do Barreiro:
      https://eco.sapo.pt/2019/05/17/ja-houve-quatro-multas-em-portugal-por-causa-do-rgpd-uma-foi-ao-hospital-do-barreiro-e-tres-a-empresas-privadas/

      Eliminar
  4. Santa incompetência... E são tão bem pagos, com tantas regalias...

    ResponderEliminar
  5. É por coisas como esta que não quero utilizar este sistema de autenticação do estado no meu banco... se nem as entidades privadas conseguem ter estes sistemas "federativos" sem falhas quanto mais o estado onde tudo costuma ser o pior, mais desactualizado e o mais inseguro possível... basicamente é criar um só ponto para falhar tudo... e se puder falhar, com o estado a gerir, é garantido que vai falhar.

    ResponderEliminar

[pub]