Uma grave brecha de segurança na Gastroclínica Cascavel, um dos principais centros médicos especializados em sistema digestório do estado do Paraná, levou à exposição de dados pessoais de pacientes e médicos, bem como laudos completos de exames.
Os arquivos estavam disponíveis livremente e sem nenhum tipo de criptografia ou verificação de credenciais a partir de um link no próprio site da empresa.
Bastava um clique para ter acesso a um servidor desprotegido que continha informações como datas de nascimento e convênios de pacientes, bem como seus nomes completos e também dos médicos solicitantes de exames, acompanhados de CRM e assinaturas. Também era possível ter acesso a laudos completos de diagnósticos, com descrição de problemas de saúde encontrados, exames de imagem e demais informações sobre as solicitações.
A falha foi indicada ao Canaltech por Giovanni Zadinello, pesquisador da startup em segurança da informação GZCorporation. Além dos dados pessoais, o servidor também trazia uma cópia completa dos sistemas internos da Gastroclínica Cascavel, que permite a marcação de consultas e a visualização online de exames, com todos os dados aparecendo sem nenhum tipo de criptografia ou verificação de credenciais de acesso.
As informações podiam ser visualizadas a partir do servidor desprotegido e baixadas localmente em um arquivo de backup. Alguns caminhos levavam a páginas de login, mas bastava analisar a estrutura do servidor para encontrar o que estava após os pedidos de credencial e acessar os dados livremente, uma vez que a plataforma não realizava nenhum tipo de verificação persistente das credenciais do usuário.
“Qualquer pessoa, com um link que tenha os parâmetros corretos, conseguiria acessar todos os arquivos e diretórios do servidor”, explicou Zadinello ao expor a falha à reportagem. De acordo com o especialista, a brecha se torna ainda mais grave por ser acessível a partir do próprio site da clínica, bastando um mero clique em uma das páginas. “Pessoas mal-intencionadas poderiam encontrar esse acesso facilmente e gerar prejuízos à empresa [e seus pacientes]”.
O principal efeito da exposição de laudos médicos e resultados de exames recai sobre a privacidade de pacientes, que, claro, não gostariam de ver tais informações disponibilizadas publicamente. Além disso, o comprometimento dos exames e de algumas informações pessoais dos envolvidos no tratamento poderia levar a tentativas de roubo de dados ou golpes financeiros contra os clientes.
Possuindo tais informações, um criminoso poderia entrar em contato com pacientes em nome da própria Gastroclínica ou de convênios médicos, exigindo pagamentos ou fingindo confirmações de cadastro que, na realidade, servem como ponte para obtenção de mais informações que poderiam levar a fraudes. A posse de laudos também poderia levar a tentativas de extorsão para que as informações não fossem reveladas a empregadores ou parentes, por exemplo.
A gravidade da brecha vai além, com credenciais de acesso ao próprio sistema, bem como a plataformas de e-mail corporativo, podendo ser encontradas no servidor exposto. Neste caso, informações confidenciais da Gastroclínica, disponíveis em serviços não acessíveis ao público, poderiam ser comprometidas, assim como contas pessoais em redes sociais ou outras plataformas, caso os usuários utilizassem a mesma senha.
Zadinello afirma ter entrado em contato com a clínica antes de revelar a falha ao Canaltech, mas não obteve resposta. À reportagem, a brecha foi demonstrada no dia 6 de abril e reportada à empresa dois dias depois. O servidor foi fechado durante o feriado de Páscoa, enquanto uma resposta da empresa aos contatos só veio em 13 de abril.
// Canaltech
