A Hapvida Participações e Investimentos, empresa que é dona da operadora de planos de saúde Hapvida, comunicou hoje ao mercado que foi “vítima de um incidente de violação de segurança cibernética” (veja a íntegra do comunicado mais abaixo). Assinado pelo CFO da empresa Bruno Cals de Oliveira, o comunicado sai depois de o portal Olhar Digital ter noticiado, na última sexta-feira, dia 3, uma denúncia sobre a exposição do banco de dados de boletos do Hapvida, com 6,4 milhões de registros. Segundo essa denúncia, um cliente logado poderia visualizar dados de qualquer outro por meio da interface de emissão de boletos. Para isso, bastava alterar o número do contrato, que era exibido ao se usar o recurso de “inspecionar” a página.
Um grupo de pesquisadores identificado como Brazil Safe contou ao portal Canaltech que no dia 18 de junho tentou contato com a Hapvida para informar a empresa sobre o assunto. O grupo, segundo publicação do portal nesta segunda-feira, teria utilizado para isso um canal de denúncias disponibilizado pela empresa no site. Só na última sexta-feira, dia 3, contudo, o grupo verificou que a vulnerabilidade estava corrigida.
O comunicado da Hapvida conta os fatos de modo diferente. Ele não traz qualquer informação técnica e trata o caso como “incidente”. Fala em informações “potencialmente acessadas” e que o “acesso não autorizado teria o potencial de alcance de somente dados cadastrais de boletos de clientes pessoas física e jurídica de somente uma das subsidiárias da Companhia”. Em outras palavras: o texto não afirma que as informações foram acessadas nem que tenha havido acesso não autorizado aos dados, ao mesmo tempo em que coloca a empresa como vítima de um crime e não como responsável pela exposição dos dados por falta de boa higiene na segurança do código.
O Hapvida tem 3,64 milhões de usuários sendo 2,65 em plano coletivo e 900 mil em planos individuais, e teve uma receita operacional líquida de R$ 2,07 bilhões no primeiro trimestre de 2020 segundo seu relatório trimestral.
O Hapvida enviou o seguinte comunicado às mídias: “A empresa investe constantemente na segurança do seu sistema e na proteção dos dados dos seus beneficiários. Diante da denúncia, o Grupo está investigando e avaliando a veracidade do caso. Confrontar os riscos de segurança cibernética é uma luta diária das companhias e governos do mundo inteiro. A Companhia aplica as melhores ferramentas e práticas de mercado para proteger os dados de seus colaboradores, clientes e fornecedores.”
O comunicado ao mercado publicado hoje diz o seguinte:
“A Hapvida Participações e Investimentos S.A. (B3:HAPV3) (“Hapvida” ou “Companhia”) comunica aos seus acionistas e ao mercado em geral que foi vítima de um incidente de violação de segurança cibernética. A Companhia tomou conhecimento imediato de acesso não autorizado e o interrompeu através das equipes de segurança cibernética interna e parceiros especializados, que vêm realizando uma análise abrangente para determinar o alcance da invasão.
As informações potencialmente acessadas incluem tão somente dados cadastrais (como nome, endereço, CPF e CNPJ) de alguns clientes, portanto não houve acesso a prontuários médicos ou informações financeiras. Não houve, em qualquer momento, interrupção de nossas operações por conta do incidente. Com base na investigação preliminar, o acesso não autorizado teria o potencial de alcance de somente dados cadastrais de boletos de clientes pessoas física e jurídica de somente uma das subsidiárias da Companhia. A investigação continua em andamento e deve ser concluída nas próximas semanas, com a Companhia apoiando a autoridade policial e especialistas em segurança.
A Companhia contratou, ainda, empresa referência de segurança cibernética que está conduzindo uma revisão completa de nossa infraestrutura e aplicações para fortalecer ainda mais nosso plano de mitigação de riscos e prevenção de incidentes. Maiores informações sobre o tema serão oportuna e tempestivamente divulgadas aos nossos acionistas e ao mercado em geral.“
Fortaleza, Ceará, 06 de julho de 2020
Bruno Cals de Oliveira
Diretor Superintendente Financeiro e de Relações com Investidores