A empresa Zello Tecnologia, contratada pelo Ministério da Saúde para ajudar a desenvolver o sistema que deixou dados de milhões de brasileiros expostos, afirmou ao Estadão que a responsabilidade pela concepção e desenho do sistema era do ministério e que o processo de desenvolvimento do código não apresentou nenhum erro.

É a primeira vez que a empresa se manifesta após o Estadão revelar, no último dia 2, a exposição na internet da base cadastral do SUS com mais de 200 milhões de brasileiros.

De acordo com a companhia, o serviço prestado pela Zello limitava-se ao desenvolvimento do chamado código front-end do sistema, que tem a função de definir como será a interface com o usuário. Esse código fica aberto para visualização por qualquer usuário e era nele em que ficaram expostas indevidamente login e senha para acesso ao banco de dados com informações de milhões de brasileiros.

Embora a empresa seja quem executa o desenvolvimento desse código, a definição sobre como ele deve estar estruturado é do ministério, de acordo com a companhia. “A Zello Tecnologia é contratada pelo Ministério da Saúde para desenvolver o front-end de sistemas. A construção da camada front-end do e-SUS-Notifica (sistema de notificações de casos de covid onde a falha foi identificada) não apresentou nenhum erro de codificação. As vulnerabilidades encontradas foram originadas na arquitetura de serviços definida pelo Ministério da Saúde”, disse a Zello, em nota encaminhada ao Estadão ontem.

A empresa disse ainda que trabalhou com a equipe técnica do Ministério da Saúde para encontrar a falha, mas que, como não é responsável pela implementação da estrutura do sistema (camada back-end do código), o ministério foi o responsável pela correção.

Questionado sobre a afirmação da Zello, a pasta não foi clara. Disse que a empresa contratada “foi responsável por criar o código do sistema e atuou em conjunto com o Ministério da Saúde durante todo o processo de revisão”, mas não informou quem foi o responsável pela decisão técnica de manter login e senha da base de dados no código front-end.

A pasta afirmou que segue investigando o que causou o incidente e “solicitou auditoria no código dos demais serviços desenvolvidos”.

Outros contratos

A Zello já prestou serviço para ao menos outros 15 órgãos federais e, atualmente, tem contrato de desenvolvimento de sites e aplicativos com dez deles.

Entre os serviços prestados estão o desenvolvimento do aplicativo do Exame Nacional do Ensino Médio (Enem) e do Sistema de Seleção Unificada (Sisu, plataforma do governo em que estudantes podem disputar vagas no ensino superior público com a nota do Enem) para o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), órgão ligado ao Ministério da Educação, e também do app e-título para o Tribunal Superior Eleitoral (TSE).

Desde 2015, quando a empresa firmou o primeiro contrato com o governo federal, ela já recebeu R$ 151 milhões. O órgão com o maior repasse é o Ministério da Saúde (R$ 43 milhões), seguido do Inep, que já repassou à Zello R$ 27 milhões. Os dados são do Portal da Transparência. A empresa diz que atua no mercado de transformação digital desde 2009 e que, nos últimos cinco anos, entregou mais de 400 projetos para diversos clientes públicos e privados. Diz ainda que “adota sempre as melhores práticas de segurança de dados”.

Congresso

A comissão da Câmara que acompanha as ações de enfrentamento à covid-19 convocou uma audiência pública para que o Ministério da Saúde explique os recentes casos de exposição indevida de dados de milhões de brasileiros revelados pelo Estadão. A reunião foi marcada para a próxima terça-feira, às 17 horas.

O requerimento da audiência foi feito pelo deputado federal Alexandre Padilha (PT), que classificou as falhas de segurança nos sistemas do ministério como “alarmantes”. “Colocam em risco todo o sistema de dados sensíveis que o Ministério da Saúde tem, com implicações sérias e graves a todos os brasileiros. As informações prestadas pelo ministério até o momento não explicam de forma satisfatória o ocorrido, muito menos a extensão dos vazamentos e falhas de segurança”, disse o parlamentar, no requerimento da audiência pública.

Participarão do encontro ainda um representante do Hospital Albert Einstein, que esteve envolvido com o primeiro vazamento de dados por um erro de um dos seus funcionários, além de instituições de direito e defesa do consumidor, como o Idec. As informações são do jornal O Estado de S. Paulo.