Especialistas em segurança da informação da empresa de segurança WizCase anunciaram ter descoberto nove servidores de sites médicos em cinco países expondo publicamente dados de pacientes e funcionários. Um dos países é o Brasil e o pior caso é justamente o brasileiro: os pesquisadores informaram que estão expostos cerca de 3 gigabytes de dados, o que corresponde a 1,2 milhão de registros. Com as informações que obtiveram, eles afirmam que os dados estão associados ao sistema de uma software house chamada Biosoft. O que eles descobriram exposto está num servidor Open Elasticsearch, acessível por meio de uma interface Kibana.
No caso da França, estão expostos dados de clientes e funcionários do fabricante de lentes Essilor num servidor Open MongoDB. Eticamente, o pior caso é o da Nigéria, porque estão expostos os resultados de 88 mil testes de HIV feitos em 2018, num arquivo de 1 gigabyte.
As informações comprometidas em todos os bancos incluem receitas, diagnósticos, números de seguridade social e, em muitos casos, nomes e endereços completos. Todos os bancos de dados foram considerados inseguros, pois os especialistas nem sequer precisavam de uma senha para acessar as informações, podendo acessar dados de milhões de pacientes e de membros de equipes médicas.
O líder da pesquisa, Avishai Efrat, descobriu nove bancos de dados médicos não seguros em países como Arábia Saudita, Brasil, Canadá, China, Estados Unidos, França e Nigéria. Embora eles variem em cada caso específico, em geral os detalhes expostos incluem:
- Nomes completos
- Números de telefone
- Endereço residencial
- Endereço de e-mail
- Local de trabalho
- Números de segurança social (CPF no nosso caso)
- Diagnóstico
- Prescrições médicas
- Resultados de exames
Como a maioria é de serviços prestada por terceiros, os especialistas da WizCase estão convencidos de que provavelmente as pessoas afetadas nem imaginam que seus dados estejam inseguros com essas empresas. Eles alertam para o fato de que criminosos possuindo esses dados podem atacar os pacientes com phishing, campanhas de extorsão por email, fraude por telefone e email e roubo de identidade.
