A história do TrateCov, o aplicativo da cloroquina que nem dados tem para ser vazado

26 maio 2021 às 15h25

COMPARTILHAR
Ao contrário do que disseram à CPI o ex-ministro Eduardo Pazuello e a médica Mayra Pinheiro, a “Capitã Cloroquina”, o aplicativo não sofreu nem ataque hacker nem extração de dados
O aplicativo TrateCov – que o Ministério da Saúde chegou a lançar em Manaus como projeto piloto para supostamente tratar a Covid-19 – é tão grosseiro que não teria nem como ser hackeado: na verdade, sua constituição enquanto plataforma basicamente nem dá a alguém a possibilidade de vazar dados ao acessá-la – simplesmente porque nem mesmo tem um banco de dados para ser vazado. E, sim, o objetivo do software era apenas indicar cloroquina, hidroxicloroquina, ivermectina e os demais medicamentos do chamado tratamento precoce ou “kit Covid”.
A afirmação parte de vários especialistas da área de desenvolvimento de sistemas, que ficaram perplexos com a resposta dada pelo governo federal à denúncia feita pelo jornalista Rodrigo Menegat: um boletim de ocorrência e uma perícia (não oficial). Menegat, especialista em jornalismo de dados, acessou o TrateCov assim que o app foi anunciado pelo Ministério da Saúde, em janeiro, e expôs ao público que a plataforma dava sempre o mesmo resultado, não importava o perfil do paciente, se um idoso cheio de comorbidades ou uma criança de colo.

Com a divulgação do caso pela Comissão Parlamentar de Inquérito (CPI) que investiga a gestão da pandemia pelo governo federal, um dos que resolveram fazer o mesmo caminho de Menegat para entrar no aplicativo foi Hélio Torres, da empresa Prossigo Informática, que trabalha principalmente com softwares na área de educação. Não que fazer esse procedimento seja algo para o gueto da tecnologia da informação (TI), pelo contrário: qualquer pessoa, você mesmo, pode acessar os dados, com um conhecimento mínimo de informática, como veremos mais abaixo.
Mas qual foi o diagnóstico feito por Hélio Torres? “O TrateCov é um aplicativo grosseiro, que tem apenas arquivos estáticos. Na verdade, nunca foi um sistema. É o que a gente chama de um ‘script’ de devolução de um resultado fixo. Ou seja, só traz respostas prontas. É apenas um painel, um mural sem inteligência de software. Seria muito mais honesto se colocassem algo como ’em qualquer sintoma de Covid, indique os medicamentos abaixo’”, explica. Ou seja, qualquer preenchimento do questionário do app levaria à mesma solução: tomar os remédios preconizados pela plataforma. “É como aquele clichê conhecido do ‘médico da virose’: você pode falar o que for a ele, descrever seus sintomas detalhadamente, mas esse médico sempre vai dizer que você tem uma virose e então vai passar uma receita padrão”, completa Torres.
Para a analista de sistemas Patrícia Evangelista, especialista em Informática em Saúde pela Universidade Federal de São Paulo (Unifesp), o TrateCov não se sustenta. “Na área da saúde, existem muitos aplicativos com algoritmos que indicam, por exemplo, predisposição a alguma doença. Mas o que se mostra pelo TrateCov é algo que não tem nada a ver com um trabalho sério”, diz, ao avaliar o aplicativo. Mestre em Ciências da Saúde pela Universidade Federal de Goiás (UFG), Patrícia atualmente trabalha na tese de doutorado, também na UFG, com a predição de pré-eclâmpsia ou eclâmpsia no fim da gravidez por meio de um algoritmo.
Desinformação na CPI
Mas voltemos um pouco ao caso em si. Em seu depoimento à CPI na semana passada, o ex-ministro da Saúde Eduardo Pazuello afirmou que o TrateCov era apenas um protótipo quando um “ataque hacker” fez com que a plataforma ficasse disponível. “Existe um boletim de ocorrência, uma investigação que chega nessa pessoa. Ele (o suposto hacker) foi descoberto, pegou esse diagnóstico, botou, alterou com dados lá dentro (sic) e colocou na rede pública”, afirmou Pazuello à CPI.
A mesma história mudou na versão da médica e Secretária de Gestão do Trabalho e Educação do Ministério da Saúde, Mayra Pinheiro. Ela disse, nesta terça-feira, 25, que não houve hackeamento, apenas “extração de dados”. “Ele (no caso, o jornalista Rodrigo Menegat) não conseguiu hackear. Hackear é quando usa a senha de alguém, entra dentro de uma plataforma (sic). Foi uma extração indevida de dados. Hoje temos um laudo pericial que classifica a operação feita como extração de dados”, afirmou Pinheiro.
Hélio Torres, então, fez o que fez Rodrigo Menegat, o jornalista que teria “entrado no sistema” – segundo Pazuello, como um hacker e, segundo Mayra, extraindo dados indevidamente. Torres apenas fez uso do GitHub, uma plataforma de hospedagem de código-fonte e arquivos acessível a qualquer pessoa e bastante utilizada por desenvolvedores de sistema. Portanto, leitor, atenção: cuidado ao apertar F12 no Google Chrome, você pode estar “hackeando” ou “extraindo dados indevidamente”. Para provar a facilidade de acessar o TrateCov, Hélio Torres isolou e enviou à reportagem a lógica do tratamento de dados do script do aplicativo. “É algo acessível a qualquer pessoa.”
Por isso, segundo o profissional de desenvolvimento de sistemas, nem o ex-ministro nem Mayra, a “Capitã Cloroquina”, estão falando a verdade a respeito do TrateCov. “Vamos supor que o ministério queria mesmo fazer um aplicativo para diagnosticar Covid e indicar o tratamento – e que isso se restringisse aos profissionais médicos. Ok, então preciso ter um banco de dados, para que, diante das entradas (preenchimentos feitos pelo usuário na plataforma), o aplicativo recorra a uma base para dar a resposta mais assertiva. A questão é que, de forma alguma, existe isso no TrateCov. É um aplicativo que foi feito para indicar cloroquina e o kit de remédios, nada mais.”
Mas então, como deveria ser o app do governo? Para explicar grosso modo, embora nem tanto como o próprio TrateCov: vamos supor que um dono de uma corretora de seguros de automóvel queira um aplicativo para seu cliente calcular quanto vai pagar pela apólice. “A seguradora vai ter de repassar ao desenvolvedor todos os dados necessários para cada informação que o cliente insira: idade, tempo de habilitação, gênero, problema visual, outras questões de saúde, se já usou seguro antes, ano e modelo do carro, estatística de furtos e roubos daquela marca de automóvel, se o carro será usado por outra pessoa, e tudo o mais. Depois, é preciso cruzar todos esses dados com outro banco, para criar uma resposta assertiva. Não é algo simples, pelo contrário, essas plataformas são extremamente complexas. No caso da medicina, é coisa para big data, com muita pesquisa e dinheiro para financiá-la”, relata Hélio Torres.
Já o TrateCov seria como montar toda a solução em cima de apenas um dado – por exemplo, a idade do condutor principal do carro, desprezando o tempo de habilitação, as estatísticas de roubo etc. “Um desenvolvedor gastaria uma manhã de trabalho para uma mão de obra que custaria não mais que R$ 1,5 mil”, avalia.
“TrateCov mostra que população do Amazonas foi feita de cobaia”
Hélio Torres se assombrou com o que encontrou no TrateCov – não custa repetir, com dados que continuavam abertos ao público até a manhã desta quarta-feira, 26 – desde o começo. “A descrição no cabeçalho do próprio sistema mostra que o aplicativo era exclusivo para Manaus, ficando claro que usaram a população de lá como cobaia. É um absurdo. Podem dizer, ‘ah, mas era uma fase de testes’, para implementar depois. Mas essa fase de testes era baseada em qual estudo? Qual banco de dados estava sendo utilizado, para fazer cruzamento com quais outros dados?”, questiona.
Ou seja, o software já estava preparado e aberto não só a médicos e profissionais da saúde, mas a todo o público. “Qualquer pessoa podia acessar (o app), tanto que o jornalista o acessou. Fica evidente que era um software para aplicar os medicamentos da lista nas pessoas. É muito difícil encontrar justificativa para o que foi feito”, conclui Hélio Torres.

Patrícia Evangelista, que também é coordenadora de um dos 14 comitês de ética em pesquisa (CEPs) no Estado para pesquisas clínicas. Ela está ligada a pesquisas clínicas médicas e ficou preocupada com o modo com que o governo federal lidou com o episódio desde o princípio. “Para ser aplicado à população ou mesmo a profissionais de saúde, essa plataforma (TrateCov) precisaria de uma autorização de um CEP, seja experimental ou não. Sem isso, em Manaus o que foi houve foi um laboratório aberto com as pessoas. É preciso investigar até que ponto isso ocorreu, porque em último caso pode caracterizar até crime contra a humanidade”, diz.
A reportagem acessou o link do app disponibilizado pelo jornalista Rodrigo Menegat (para fazer o teste também, clique aqui). O repórter preencheu como uma criança de menos de 3 anos, 100 quilos e com 1,80 de altura. Depois de preencher os sintomas, mesmo este ser humano irreal teve, ao responder “sim” ao tratamento precoce, todo o receituário do kit Covid, da cloroquina à ivermectina.