Grupo WhiteHat Brasil descobriu brechas que permitem a visualização não apenas de dados como também de documentos e resultados de diagnósticos por imagem
Uma falha nos sistemas de atendimento de várias cooperativas Unimed pode ter exposto os dados todos os clientes que elas possuem. O problema foi descoberto por integrantes do grupo de pesquisadores WhiteHat Brasil, que o comunicou ao portal Olhar Digital na semana passada. O incidente foi noticiado como falha de um sistema que contém todos os clientes da Unimed. Nesse caso,m estariam expostos 18 milhões de clientes, tal como noticiado. Mas na verdade cada uma das 344 cooperativas tem seu próprio sistema e o grupo detectou problemas em vários deles.
Segundo o grupo, as falhas no acesso aos bancos de dados teriam permitido acesso a detalhes não só das fichas cadastrais de pacientes, como também a resultados de exames de raio-X, ultrassom, assim como cópias de documentos armazenadas no banco. Entre essas cópias existem, por exemplo, certidões de óbito. As fichas dos pacientes contêm detalhes como nome completo, CPF, nome da mãe, códigos do beneficiário, email e nomes dos dependentes.
Além dos dados de pacientes, estariam expostas informações como logins de funcionários e cooperados (profissionais da saúde, incluindo médicos), emails internos e planilhas contendo dados financeiros.
Os membros do WhiteHat Brasil disseram que analisaram o sistema durante cerca de um mês e desse modo conseguiram identificar brechas semelhantes nos servidores de em diversas unidades da Unimed. O grupo citou como exemplo as cooperativas Unimed das cidades de Imperatriz (MA), São Leopoldo (RS), Teresina e Parnaíba (PI).
Embora a marca Unimed seja uma só, ela na verdade é formada por um conjunto de cooperativas de profissionais da saúde, presente em 84% do território. São 344 cooperativas, que detêm 37% do mercado de saúde suplementar nacional, com 18 milhões de beneficiários e 115 mil médicos cooperados. No ano passado, o conglomerado teve um faturamento no valor de R$71,9 bilhões, com elevação de 2,9% em relação a 2017.
Não há informações de que o WhiteHat Brasil tenha informado o problema às Unimeds antes da divulgação deles. Ao portal Baguete, a Unimed envioui oa seguinte nota explicativa:
A Unimed do Brasil, representante institucional do Sistema Unimed, informa que investe continuamente em tecnologias que garantam a segurança das suas operações e a proteção dos dados pelos quais é responsável. Em todo o Sistema Unimed, a área de tecnologia tem recebido atenção especial, adotando medidas e procedimentos técnicos que visam à proteção dos dados e à privacidade de seus beneficiários.
A Unimed reforça seu compromisso em zelar pela segurança das informações e pelo sigilo dos dados de quem se relaciona com a marca. Prezando pela privacidade de seus beneficiários, compromete-se a investigar de forma minuciosa qualquer suspeita de vazamentos ou ataques cibernéticos.
É importante ressaltar que, de acordo com a legislação cooperativista, cada Unimed possui autonomia em sua administração, inclusive com utilização de sistemas de gestão distintos. Sendo assim, não há necessariamente reflexos da situação de uma cooperativa nas outras que compõem o Sistema.