Dados de funcionários de empresa de gás vazam após suposta brecha em seguradora

Informações pessoais e de saúde de trabalhadores da distribuidora Ultragaz vazaram na internet após uma suposta exposição de arquivos da seguradora Porto Seguro. Os dados incluem nomes completos, CPFs, datas de nascimento, e, na parte mais sensível do comprometimento, registros e datas de exames, consultas e outros procedimentos médicos realizados pelos funcionários.

• Deep web | Saiba como evitar que seus dados sejam vazados
• Dados pessoais de brasileiros estão entre os mais baratos do mundo no cibercrime

A denúncia feita ao Canaltech acompanhou dois links já publicados na superfície da web, com a íntegra dos dados vazados. No primeiro, está uma amostra de cerca de 1,2 mil entradas, enquanto o segundo traz a íntegra do comprometimento, com mais de 33 mil linhas, cada uma delas referente a um apontamento médico realizado pelos trabalhadores da Ultragaz. O total de indivíduos expostos não pode ser definido, já que múltiplas entradas referentes às mesmas pessoas podem ser encontradas na lista.

Os dados são referentes a 2020 e representam uma severa quebra na privacidade dos funcionários. O volume inclui consultas e exames de rotina, testes de gravidez ou doenças sexualmente transmissíveis, internações em urgência, datas de partos e registros de medicamentos — essas informações deveriam estar sob sigilo, e não publicadas na internet. Além dos próprios trabalhadores, também aparecem dependentes de planos de saúde, com direito a menores de idade e familiares.

A origem do vazamento seria a Porto Seguro, a partir de um suposto comprometimento de dados que teria acontecido em 2020. Do mesmo incidente, também teria surgido outro vazamento recente de dados médicos, com cerca de 6 mil entradas referentes a trabalhadores da agência de viagens online Decolar. A seguradora não confirma diretamente nenhum dos dois casos, mas disse estar ciente de uma exposição de informações.

Em retorno ao Canaltech, a empresa disse ainda que apurações técnicas indicaram que seus sistemas internos e bancos de dados não foram comprometidos como parte deste incidente. Confira a íntegra:

A Porto Saúde tomou conhecimento de que dados de algumas empresas parceiras, até meados de 2020, teriam sido indevidamente expostos em ambiente digital. A partir das apurações técnicas, conduzidas por equipe externa especializada e independente contratada para apoiar neste caso, constatou-se que não há evidências de comprometimento dos sistemas de tecnologia da informação ou de violação da base de dados interna da Porto Saúde. A companhia reforça que investe constantemente em segurança e tecnologia com o objetivo de prevenir esse tipo de ocorrência.

A fonte que enviou as informações à reportagem não deu muitos detalhes sobre a intrusão, apenas confirmando se tratar da mesma abertura que permitiu o incidente anterior. Não houve comentários sobre uma possível venda dos dados referentes à Ultragaz ou os motivos que levaram à divulgação pública das informações,mas o responsável disse possuir mais volumes e que organizar tudo levaria tempo, indicando a iminência de mais vazamentos.

Contatada pelo Canaltech, a Ultragaz disse que os dados correspondem a uma parcela de seus funcionários, enquanto, em apuração, não encontrou indícios de brecha de segurança em seus sistemas internos. As informações comprometidas estavam sob tutela de um fornecedor com o qual a companhia não mantém mais relação:

A Ultragaz informa que foi notificada sobre um incidente envolvendo vazamento de dados sob a tutela de um fornecedor externo, com quem a empresa não mantém mais relação. De acordo com a denúncia, as informações em questão restringem-se apenas a uma parcela de seus colaboradores. A companhia ressalta que a segurança das operações é um de seus valores fundamentais e que está conduzindo uma apuração interna que não indica ruptura da segurança e integridade dos dados de colaboradores nos sistemas sob responsabilidade direta da empresa.

Vazamento de dados abre risco de golpes e roubo de identidade

A exposição de informações pessoais, como nomes completos, CPFs e datas de nascimento, pode levar a ataques de engenharia social contra os trabalhadores. O cruzamento com outros dados vazados pode levar à descoberta de ainda mais dados dos indivíduos, que acabam suscetíveis a contados indevidos da parte dos criminosos, que podem inclusive se passar pela própria Ultragaz.

Quando se fala em informações sensíveis, o risco se torna ainda maior. No caso do vazamento relacionado à saúde, como acontece agora, golpistas podem se passar por representantes de bancos, laboratórios, clínicas ou até mesmo da própria seguradora para solicitar pagamentos ou enviar boletos falsos, bem como realizar extorsão a partir de informações comprometedoras que possam estar em meio ao volume.

Por isso, a recomendação a todos os eventualmente atingidos é o cuidado com contatos recebidos por telefone, e-mail, WhatsApp e outros apps de mensagem. Certifique-se de estar falando com um contato legítimo antes de passar qualquer informação e, principalmente, realizar pagamentos. Redes sociais, contas bancárias e extratos de cartão de crédito também devem ser acompanhados de perto em busca de movimentações estranhas, com bloqueio, troca de senhas e outras medidas de proteção devendo ser tomadas rapidamente e a qualquer sinal de problema.

Correção 14/01/2023 12h33: Originalmente, a matéria apontava a Porto Seguro como origem do vazamento de dados; o texto foi alterado para refletir o pronunciamento da empresa, que não confirma esse incidente, mas apenas o conhecimento sobre uma exposição de informações.