Clínica referência em gastro no Brasil expôs dados de pacientes e médicos

Uma grave brecha de segurança na Gastroclínica Cascavel, um dos principais centros médicos especializados em sistema digestório do estado do Paraná, levou à exposição de dados pessoais de pacientes e médicos, bem como laudos completos de exames.

Os arquivos estavam disponíveis livremente e sem nenhum tipo de criptografia ou verificação de credenciais a partir de um link no próprio site da empresa.

Bastava um clique para ter acesso a um servidor desprotegido que continha informações como datas de nascimento e convênios de pacientes, bem como seus nomes completos e também dos médicos solicitantes de exames, acompanhados de CRM e assinaturas. Também era possível ter acesso a laudos completos de diagnósticos, com descrição de problemas de saúde encontrados, exames de imagem e demais informações sobre as solicitações.

A falha foi indicada ao Canaltech por Giovanni Zadinello, pesquisador da startup em segurança da informação GZCorporation. Além dos dados pessoais, o servidor também trazia uma cópia completa dos sistemas internos da Gastroclínica Cascavel, que permite a marcação de consultas e a visualização online de exames, com todos os dados aparecendo sem nenhum tipo de criptografia ou verificação de credenciais de acesso.

As informações podiam ser visualizadas a partir do servidor desprotegido e baixadas localmente em um arquivo de backup. Alguns caminhos levavam a páginas de login, mas bastava analisar a estrutura do servidor para encontrar o que estava após os pedidos de credencial e acessar os dados livremente, uma vez que a plataforma não realizava nenhum tipo de verificação persistente das credenciais do usuário.

“Qualquer pessoa, com um link que tenha os parâmetros corretos, conseguiria acessar todos os arquivos e diretórios do servidor”, explicou Zadinello ao expor a falha à reportagem. De acordo com o especialista, a brecha se torna ainda mais grave por ser acessível a partir do próprio site da clínica, bastando um mero clique em uma das páginas. “Pessoas mal-intencionadas poderiam encontrar esse acesso facilmente e gerar prejuízos à empresa [e seus pacientes]”.

O principal efeito da exposição de laudos médicos e resultados de exames recai sobre a privacidade de pacientes, que, claro, não gostariam de ver tais informações disponibilizadas publicamente. Além disso, o comprometimento dos exames e de algumas informações pessoais dos envolvidos no tratamento poderia levar a tentativas de roubo de dados ou golpes financeiros contra os clientes.

Possuindo tais informações, um criminoso poderia entrar em contato com pacientes em nome da própria Gastroclínica ou de convênios médicos, exigindo pagamentos ou fingindo confirmações de cadastro que, na realidade, servem como ponte para obtenção de mais informações que poderiam levar a fraudes. A posse de laudos também poderia levar a tentativas de extorsão para que as informações não fossem reveladas a empregadores ou parentes, por exemplo.

A gravidade da brecha vai além, com credenciais de acesso ao próprio sistema, bem como a plataformas de e-mail corporativo, podendo ser encontradas no servidor exposto. Neste caso, informações confidenciais da Gastroclínica, disponíveis em serviços não acessíveis ao público, poderiam ser comprometidas, assim como contas pessoais em redes sociais ou outras plataformas, caso os usuários utilizassem a mesma senha.

Zadinello afirma ter entrado em contato com a clínica antes de revelar a falha ao Canaltech, mas não obteve resposta. À reportagem, a brecha foi demonstrada no dia 6 de abril e reportada à empresa dois dias depois. O servidor foi fechado durante o feriado de Páscoa, enquanto uma resposta da empresa aos contatos só veio em 13 de abril.

COMPARTILHAR

DEIXE UM COMENTÁRIO:

Estudo indica razão bizarra para a existência de barba nos homens

Humanos são bastante diferentes dos outros grandes primatas no que se refere ao pelo corporal: de forma geral temos bem menos que eles, especialmente as mulheres. Os homens, por outro lado, conseguem produzir uma barba longa, …

EUA querem fechar brecha em regra que bloqueia fornecimento de chips para Huawei

Reguladores dos EUA querem fechar uma brecha na nova regra que bloqueia o fornecimento global de chips para a Huawei. Recentemente, a fabricante chinesa também teve a sua presença prorrogada por mais um ano na …

Objetos escondidos por prisioneiros são descobertos em Auschwitz

Talheres e outros itens encontrados num duto de chaminé de um dos blocos daquele que foi o maior campo de extermínio nazista podem revelar detalhes sobre a vida no local, onde mais de um milhão …

Troca de ministros é exemplo de 'simplificação da política' de Bolsonaro

Constantes mudanças de ministro feitas por Jair Bolsonaro têm "impacto político importante", mas "simplificação da política" praticada pelo presidente o "mantém no cargo", disse sociólogo à Sputnik Brasil. Para Dario Sousa e Silva, professor da Universidade …

Pinguins fazem tour exclusivo em museu fechado por causa do coronavírus

Por todo o mundo a pandemia do novo coronavírus e a quarentena fecharam as portas dos museus, deixando as obras de arte solitárias nos corredores esvaziados das instituições, que já há meses não recebem visitantes. Enquanto …

Esse pode ser o único sintoma de Covid-19 em alguns pacientes

De acordo com publicação da Universidade de Utah, o coronavírus pode causar conjuntivite em casos raros e não parece ser o único sintoma de Covid-19, sendo acompanhada de febre, tosse e falta de ar. Mas …

Spotify reforça ambição de expandir para além do streaming de música

O Spotify teve uma alta em suas ações nessa terça-feira (19), depois de anunciar que terá, com exclusividade, um dos maiores podcasters do mundo na sua plataforma. "The Joe Rogan Experience", um podcast no estilo …

Israel é alvo de ciberataques generalizados

Vários websites de Israel foram atingidos nesta quinta-feira (21) por um ataque cibernético coordenado, com suas páginas principais sendo substituídas por imagens da capital, Tel Aviv, e de outras cidades israelenses em chamas. De acordo com …

Para imprensa europeia, cloroquina se tornou "arma política" no Brasil

A imprensa europeia demonstra surpresa e preocupação com a decisão do governo brasileiro de ampliar o uso da cloroquina e da hidroxicloroquina para o tratamento de doentes com sintomas leves do coronavírus no SUS. Sites de …

STF libera vídeo de reunião com Moro e Bolsonaro

O ministro Celso de Mello do Supremo Tribunal Federal (STF) decidiu liberar nesta sexta-feira (22/05) a íntegra do vídeo da reunião ministerial do dia 22 de abril mencionada pelo ex-ministro da Justiça Sergio Moro, logo …