A Unimed Porto Alegre sofreu um vazamento de dados de clientes, incluindo informações como nome completo, email, telefone, número IP, CPF, histórico de exames, histórico de consultas, medicações e materiais usados.
A revelação é do site Tecmundo, que recebeu dados de 500 pacientes de um profissional da área de tecnologia. A fonte, que não revela seu nome, apenas a alcunha Xploit, afirma ter dados de 1 mil pessoas.
A título de comparação: em sua página no Linkedin, a Unimed Porto Alegre, a maior do Rio Grande do Sul, informa ter 690 mil clientes.
A matéria do Tecmundo, que revela com frequência grandes vazamentos de dados, traz um print screen com dados brutos de um cliente obtidos pela sua fonte (imagem acima).
Pelas regras da LGPD, informações sobre procedimentos médicos são consideradas sensíveis e o vazamento é passível de multa.
A fonte do Tecmundo disse que buscou contato com a Unimed, mas não obteve resposta.
De acordo com Xploit, o vazamento é oriundo de uma falha em endpoints em uma das unidades da Unimed Porto Alegre.
Um endpoint é como se chama no jargão da área de segurança qualquer dispositivo conectado em uma rede privada ou corporativa que transmitem e recebem dados.
Ainda segundo o Tecmundo, Xploit descobriu o problema após inserir o próprio CPF e ID de usuário em um formulário da Unimed e notar que houve retorno dos dados cadastrais sem autenticação.
“Grande parte dos endpoints pede apenas CPF ou ID para realizar qualquer ação”, afirma Xploit.
O TecMundo entrou em contato com a Unimed Porto Alegre, que não chegou a confirmar o vazamento, nem a negar totalmente (veja a íntegra da nota abaixo).
A empresa nega não ter reagido à denúncia de Xploit, afirmando que “tão logo teve ciência da imputação de supostas fragilidades nos seus sistemas” instaurou um “procedimento investigatório” e que “até o momento, não foi constatado incidente que possa causar danos à algum titular de dados pessoais”.
A Unimed Porto Alegre afirma ainda que os fatos seguirão sendo apurados e “qualquer incidente relevante envolvendo dados pessoais” será comunicado à ANPD, agência reguladora responsável pela LGPD.
NOTA DA UNIMED PORTO ALEGRE
“A Unimed Porto Alegre também conta com plano de resposta a incidentes e remediação, além de possuir um time específico de resposta a incidentes de segurança da informação e uma vasta estrutura de tecnologia e segurança da informação apta a incorporar as medidas de proteção, detecção e correção necessárias.
Neste sentido, tão logo teve ciência da imputação de supostas fragilidades nos seus sistemas, a Unimed Porto Alegre instaurou o competente procedimento investigatório para viabilizar a coleta de todas as informações necessárias acerca do evento e adotar as medidas apropriadas para fins de detectar a origem da suposta vulnerabilidade e, caso necessário, conter e controlar eventuais sistemas afetados.
A Unimed Porto Alegre informa que está constantemente trabalhando em melhorias dos controles implementados, e que, até o momento, não foi constatado incidente que possa causar danos à algum titular de dados pessoais.
Os fatos seguirão sendo apurados e qualquer incidente relevante envolvendo dados pessoais será comunicado à ANPD. Estamos também à disposição para esclarecimentos adicionais, por intermédio do nosso Portal de Privacidade: ou através de e-mail [email protected]”.
Tem alguma dúvida, clique aqui e entre em contato conosco.
Fonte: Baguete Diário