Brecha em sistema de agendamento de consultas expõe dados de pacientes

Durante a pandemia do novo coronavírus, os hospitais e centros médicos se tornaram um alvo preferencial de hackers, que se aproveitam da lotação das instituições e do grande volume de pacientes para roubar dados. Uma brecha de segurança descoberta na plataforma Mychesys dá abertura a exatamente esse tipo de golpe, expondo pacientes e médicos a tentativas de fraude direcionada.

O sistema, utilizado por consultórios médicos de diferentes especialidades, convênios e hospitais de grande porte, muitas vezes com foco popular, digitaliza os principais recursos destas instituições, permitindo o armazenamento de diagnósticos e prontuários na nuvem, o envio de mensagens de texto com informações e o agendamento online de consultas e procedimentos. É justamente nestas duas últimas funcionalidades que aparece a brecha de segurança que permite a extração de dados para realização de novos golpes contra os clientes.

Descoberta pelo técnico em redes Mateus Gomes e reportada ao Canaltech, a falha aparece no envio de SMS para confirmação de consultas ou exames para os pacientes. A mensagem é enviada ao número de celular cadastrado, mas o link de confirmação não possui nenhum tipo de verificação adicional, além de acompanhar um ID de oito caracteres, que é específico para cada cliente e traz consigo as informações pertinentes ao procedimento que será realizado por ele.

Aparecem na página acessada dados como nomes completos de pacientes e médicos, bem como a especialidade dos profissionais, nome e endereço da clínica em que o procedimento será realizado, além de data e hora marcada. Dos clientes, estão disponíveis informações sobre o convênio utilizado e eventuais valores que precisam ser pagos por consultas e exames, tudo estruturado em JSON e acessível por qualquer um que tiver o link.

De acordo com Gomes, o que piora as coisas e torna a questão uma vulnerabilidade é o fato de o sistema do Mychesys não contar com proteção contra acessos por força bruta, o que permitiria uma extração em massa dos dados disponíveis. “Se um atacante criasse um código para produzir a variação de ID, poderia ter acesso à informação de marcações para outras pessoas”, completou ao demonstrar a possibilidade à reportagem.

Utilizando um software de força bruta simples, um criminoso seria capaz de gerar aleatoriamente os oito caracteres de identificação de clientes usados no sistema e extrair os dados, quando existentes, seguindo para novas tentativas quando um cliente não fosse localizado. “Tendo acesso a essas informações, seria possível criar golpes personalizados contra os pacientes”, completa. Nenhuma informação de terceiros foi acessada durante a prova de conceito.

A partir da brecha, criminosos poderiam realizar ataques direcionados a clientes das clínicas e consultórios utilizando dados de médicos e agendamentos. Seria possível, por exemplo, induzir as vítimas a depositarem novos valores na conta de golpistas, alegando problemas de transação ou cobranças adicionais ligadas a procedimentos vindouros, bem como a solicitação de dados pessoais ou de cartão de crédito que levem a fraudes, dando aparência de legitimidade ao contato devido ao conhecimento de tais informações.

“Com o avanço da computação em nuvem, qualquer pessoa pode ter acesso a uma grande capacidade de processamento por preço extremamente baixo, o que viabiliza ataques de força-bruta [como este]”, completa Gomes. Em seus testes, o técnico disse ter realizado mais de mil solicitações sucessivas ao banco de dados sem que existisse nenhum tipo de bloqueio por parte do servidor.

Sem retorno

A brecha de segurança foi reportada ao Canaltech no dia 30 de março, com o primeiro contato da reportagem com a companhia acontecendo no dia 8 de abril. Nas semanas que se seguiram, foram realizadas sucessivas tentativas de contato pelo e-mail e telefone da empresa, sem retorno, bem como pelo endereço eletrônico de um dos diretores e sócios do Mychesys, que também não respondeu.

Seguindo critérios de divulgação responsável de vulnerabilidades, o Canaltech aguardou 90 dias desde a notificação inicial para solução da brecha, o que também não aconteceu. A reportagem está à disposição da empresa para esclarecimentos e fornecimento de detalhes sobre a falha reportada.

Como não houve retorno, não foi possível confirmar a exploração da brecha por terceiros não-autorizados e um possível acesso às informações dos clientes. Aos usuários do sistema de agendamento, a principal recomendação é desconfiar de contatos que aconteçam em nome de profissionais da área médica, consultórios, clínicas ou convênios, principalmente quando existir a solicitação de mais dados pessoais ou pagamentos.

Na dúvida, o ideal é que os pacientes não forneçam tais informações e entrem em contato diretamente com a empresa em questão, por telefones oficiais, para verificar a veracidade da solicitação. Além de ligações, é importante ficar atento para SMS ou mensagens que cheguem por mensageiros instantâneos, que podem ser usados para golpes adicionais.