Clínica referência em gastro no Brasil expôs dados de pacientes e médicos

Uma grave brecha de segurança na Gastroclínica Cascavel, um dos principais centros médicos especializados em sistema digestório do estado do Paraná, levou à exposição de dados pessoais de pacientes e médicos, bem como laudos completos de exames. Os arquivos estavam disponíveis livremente e sem nenhum tipo de criptografia ou verificação de credenciais a partir de um link no próprio site da empresa.

Bastava um clique para ter acesso a um servidor desprotegido que continha informações como datas de nascimento e convênios de pacientes, bem como seus nomes completos e também dos médicos solicitantes de exames, acompanhados de CRM e assinaturas. Também era possível ter acesso a laudos completos de diagnósticos, com descrição de problemas de saúde encontrados, exames de imagem e demais informações sobre as solicitações.

A falha foi indicada ao Canaltech por Giovanni Zadinello, pesquisador da startup em segurança da informação GZCorporation. Além dos dados pessoais, o servidor também trazia uma cópia completa dos sistemas internos da Gastroclínica Cascavel, que permite a marcação de consultas e a visualização online de exames, com todos os dados aparecendo sem nenhum tipo de criptografia ou verificação de credenciais de acesso.

As informações podiam ser visualizadas a partir do servidor desprotegido e baixadas localmente em um arquivo de backup. Alguns caminhos levavam a páginas de login, mas bastava analisar a estrutura do servidor para encontrar o que estava após os pedidos de credencial e acessar os dados livremente, uma vez que a plataforma não realizava nenhum tipo de verificação persistente das credenciais do usuário.

“Qualquer pessoa, com um link que tenha os parâmetros corretos, conseguiria acessar todos os arquivos e diretórios do servidor”, explicou Zadinello ao expor a falha à reportagem. De acordo com o especialista, a brecha se torna ainda mais grave por ser acessível a partir do próprio site da clínica, bastando um mero clique em uma das páginas. “Pessoas mal-intencionadas poderiam encontrar esse acesso facilmente e gerar prejuízos à empresa [e seus pacientes]”.

Phishing e fraudes

O principal efeito da exposição de laudos médicos e resultados de exames recai sobre a privacidade de pacientes, que, claro, não gostariam de ver tais informações disponibilizadas publicamente. Além disso, o comprometimento dos exames e de algumas informações pessoais dos envolvidos no tratamento poderia levar a tentativas de roubo de dados ou golpes financeiros contra os clientes.

Possuindo tais informações, um criminoso poderia entrar em contato com pacientes em nome da própria Gastroclínica ou de convênios médicos, exigindo pagamentos ou fingindo confirmações de cadastro que, na realidade, servem como ponte para obtenção de mais informações que poderiam levar a fraudes. A posse de laudos também poderia levar a tentativas de extorsão para que as informações não fossem reveladas a empregadores ou parentes, por exemplo.

A gravidade da brecha vai além, com credenciais de acesso ao próprio sistema, bem como a plataformas de e-mail corporativo, podendo ser encontradas no servidor exposto. Neste caso, informações confidenciais da Gastroclínica, disponíveis em serviços não acessíveis ao público, poderiam ser comprometidas, assim como contas pessoais em redes sociais ou outras plataformas, caso os usuários utilizassem a mesma senha.

• Brecha expõe dados de alunos e funcionários da Universidade Estadual de Maringá
• Como se proteger de golpes ligados ao coronavírus

Zadinello afirma ter entrado em contato com a clínica antes de revelar a falha ao Canaltech, mas não obteve resposta. À reportagem, a brecha foi demonstrada no dia 6 de abril e reportada à empresa dois dias depois. O servidor foi fechado durante o feriado de Páscoa, enquanto uma resposta da empresa aos contatos só veio em 13 de abril.

Em comunicado oficial, a Gastroclínica Cascavel confirmou a exposição do servidor e também o fechamento do banco de dados após receber contato da reportagem. O centro médico não informou por quanto tempo o banco de dados permaneceu aberto, mas afirmou que “não houve vazamento de dados de pacientes ou informações de qualquer natureza” e disse “zelar pela segurança das informações e sigilo de quem se relaciona com a empresa”, comprometendo-se a “investigar de forma minuciosa qualquer suspeita de vazamentos ou ataques cibernéticos”.

Além disso, a companhia afirmou investir continuamente na garantia de segurança de suas operações e na proteção dos dados dos clientes, com a área de segurança recebendo atenção especial e a implementação constante de medidas e procedimentos técnicos para proteger a privacidade de pacientes e médicos.

Recomendações e sistemas na nuvem

De acordo com um porta-voz da clínica, a exposição do banco de dados aconteceu por um erro de configuração e o mesmo também vale para a presença de laudos em meio ao volume de informações. Os exames presentes correspondem a um período de 2016 e 2020 e são gerados sempre que um paciente faz a solicitação de acesso pelo site — devido à falha, eles acabaram ficando armazenados em uma pasta temporária do sistema, de onde deveriam ser apagados após a visualização.

Brechas como essa são relativamente comuns em sistemas internos como o usado pela Gastroclínica, mas que poderiam ser mitigadas com o uso de soluções modernas e conectadas à nuvem. É o que aponta Francisco Ferreira, especialista em infraestrutura focada em cloud computing e virtualização. De acordo com ele, plataformas online possuem padrões de privacidade que estão de acordo com normas internacionais de segurança, evitando falhas dessa categoria.

“Quando adotamos [essa tecnologia], entregamos boa parte do gerenciamento ao provedor, que adota padrões de conformidade e monitora possíveis falhas de proteção em tempo real, evitando possíveis ataques”, explica o especialista. Uma abertura como a indicada à reportagem, por exemplo, poderia ser facilmente detectada não apenas pelo próprio sistema, mas também por empresas de segurança da informação, que poderiam informar aos responsáveis antes de um comprometimento sério das informações.

Ferreira explica, por exemplo, que são obrigatórias as aplicações de ferramentas nativas de segurança como prevenções contra perda de dados, proteções de identidade e autenticação em dois fatores. Além disso, servidores de cloud computing também precisam aderir a legislações que visam o sigilo dos usuários, como é o caso da Lei Geral de Proteção de Dados (LGPD) no Brasil ou o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) na União Europeia.

“No modelo de Plataforma Como Serviço (PAAS), as atualizações de segurança são de responsabilidade do provedor, o que permite entregar boa parte desse gerenciamento [a ele]”, explica o especialista, afirmando também ser possível escolher sistemas que permitam um maior controle por parte do administrador, mas também implicando em um aumento da responsabilidade dele. “Também é interessante periodicamente contratar uma empresa para realizar testes de penetração para testar a segurança interna e externa dos sistemas”, completa.

Ferreira destaca outros benefícios de uma arquitetura de cloud computing, como a disponibilidade maior, que em alguns casos chega a 99,95%, bem como sua escalabilidade, com sistemas capazes de lidar tranquilamente com um grande volume de acessos. São elementos que mitigam eventuais problemas com a tecnologia e o funcionamento dos sistemas, permitindo, inclusive, o foco em outros elementos.

• Como o cenário de crise deve impulsionar a evolução tecnológica
• Como a nuvem evoluirá em 2020? Veja as cinco previsões
• Qual o provedor de nuvem ideal para minha empresa?

“O elo mais fraco de um projeto de segurança sempre é o usuário”, pontua o especialista. Para ele, em paralelo à tecnologia, também é importante investir em educação para que eles entendam os riscos envolvidos na utilização de plataformas online e saibam reconhecer ataques envolvendo engenharia social ou phishing, de forma que nem mesmo os próprios funcionários de uma instituição possam servir como porta de entrada para hackers.

Aos pacientes potencialmente atingidos, a recomendação é manter a atenção para tentativas de golpe ou uso dos dados possivelmente comprometidos. O ideal é evitar clicar em links ou preencher cadastros que cheguem por e-mail, sobretudo os em nome de convênios ou clínicas, além de desconfiar de ligações telefônicas em nome de instituições de saúde. Na dúvida, entre em contato diretamente com a empresa em questão para verificar a veracidade da comunicação.

Os usuários de e-mails corporativos comprometidos em brechas dessa categoria também devem ficar atentos a tentativas de invasão em contas pessoais, redes sociais e demais serviços. Para garantir a segurança e minimizar problemas, o ideal é trocar senhas de plataformas sensíveis e jamais usar as mesmas credenciais em mais de uma delas já que, em caso de vazamento, todas podem acabar comprometidas.