Hapvida: brecha em rede de hospitais e clínicas expôs dados de pacientes

Uma brecha de segurança pode ter exposto os dados pessoais de clientes da Hapvida, rede de hospitais e clínicas com atuação nas regiões Nordeste, Norte e Sul do Brasil. Usando um login válido para acesso aos sistemas de usuários dos planos e instalações da empresa, um atacante seria capaz de visualizar as informações de milhões de clientes dos planos da companhia, sem nenhum tipo de verificação adicional.

A falha estava disponível na plataforma de emissão de boletos da Hapvida. A partir da visualização de contas destinadas a terceiros, que não o responsável pelo login, foram expostas informações como nomes completos, CPFs, endereços, valores pagos e planos assinados, bastando uma manipulação relativamente simples que poderia ser feita a partir de um recurso dos próprios navegadores.

O caso foi passado ao Canaltech pela Brazil Safe, um grupo de pesquisadores independentes de segurança, e categorizado pelos especialistas como de severidade máxima devido à simplicidade na exploração, que permite acesso, virtualmente, a toda a base de clientes da Hapvida. “Um agente criminoso que explorar essa vulnerabilidade vai conseguir, facilmente, baixar os dados de milhões [de usuários] em pouco tempo, conseguindo obter toda a base em poucos dias com o uso de robôs e servidores”, informou o relatório compartilhado com a reportagem pelos especialistas.

Força bruta

Todo o processo de exploração é, basicamente, de tentativa e erro, e é aí que entram os serviços automatizados citados pela Brazil Safe. Após o login com uma conta legítima, ao visualizar o código da plataforma de emissão de boletos por meio da opção de inspecionar elemento, disponível em qualquer browser, é possível localizar o número de identificação do contrato do cliente e, no caso da brecha, manipular esse valor, tendo acesso ao contrato de um terceiro.

A partir daí, seria possível visualizar boletos em nomes de outros clientes da Hapvida sem que o sistema fizesse verificações adicionais de identidade, de forma a garantir que as informações visualizadas pertencem, efetivamente, ao usuário logado. Bastaria, então, que um sistema automatizado experimentasse números aleatórios de forma sucessiva e, sempre que obtivesse sucesso, baixasse as informações obtidas no sistema para compor uma base de usuários dos planos de saúde e unidades da marca.

É nas faturas dos usuários que estão as informações pessoais que poderiam ser extraídas por hackers e utilizadas na realização de fraudes que poderiam ser praticados até mesmo em nome da própria rede, que possui 48 unidades hospitalares ou de pronto atendimento, além de mais de 180 clínicas e centros de diagnóstico. Possuindo as informações sobre planos, procedimentos, números de contrato e outros dados pessoais, criminosos poderiam entrar em contato com os clientes em nome da Hapvida, seja para exigir mais informações ou dados financeiros, além de solicitar pagamentos e transferências em nome da empresa.

Além disso, os especialistas da Brazil Safe destacam outras modalidades de fraude, como o vazamento ou venda dessas informações por terceiros, o sequestro da carteira de clientes por concorrentes ou a utilização em novas fraudes, não relacionadas diretamente à Hapvida, mas que utilizem os dados obtidos como um método de engenharia social. A ideia é que, ao saber dados pessoais dos usuários, os golpistas poderiam dar uma aparência de legitimidade a solicitações de cadastro ou solicitações de pagamentos falsos.

Não se sabe ao certo desde quando a vulnerabilidade estava disponível no sistema de emissão de boletos da Hapvida, com a Brazil Safe afirmando que a primeira tentativa de contato sobre o caso foi feita em 18 de junho, a partir de um canal de denúncias disponibilizado pela própria empresa em seu site. A confirmação de que a brecha havia sido fechada veio no dia 3 de julho, após contato do Canaltech com a rede.

Em nota, a empresa afirmou investir constantemente na segurança de seu sistema e na proteção de dados dos beneficiários, tendo investigado o caso apresentado pela reportagem. A Hapvida disse, ainda, aplicar as melhores ferramentas e práticas do mercado para proteger as informações de colaboradores, clientes e fornecedores.

A rede, entretanto, não informou desde quando a vulnerabilidade estava disponível e se existem indícios de visualização das informações por terceiros.

Contato direto

Aos usuários eventualmente afetados pela exploração, a principal indicação é prestar atenção em comunicações que cheguem em nome da Hapvida. Como dito, golpistas podem utilizar os dados para dar aparência de legitimidade a novas solicitações, que podem resultar em comprometimentos ainda maiores de dados pessoais e financeiros.

O ideal, para os usuários da rede, é entrar em contato diretamente com a empresa em caso de solicitações desse tipo, e jamais entregar as informações pedidas por telefone, mensageiros instantâneos e outros meios de contato. Além disso, vale a pena ficar de olho em boletos emitidos em seu nome e sempre validar tais informações com a Hapvida.

A própria empresa, inclusive, faz um alerta desse tipo em seu site oficial, indicando tentativas de golpes com “intermediadores” entrando em contato com clientes para tratar de débitos em aberto e aplicar golpes. A recomendação da Hapvida é a mesma: os clientes devem entrar em contato com os canais oficiais da rede para tratar de suas contas a pagar.

Vale a pena, ainda, fazer uma verificação de segurança em redes sociais, plataformas bancárias, serviços de e-mail e mensageiros, trocando senhas que sejam fáceis de descobrir ou que sejam utilizadas em mais de uma plataforma. Dados eventualmente obtidos por criminosos podem ser cruzados com outros bancos de dados vazados em busca de coincidências, que podem levar a golpes mais arrojados. Por isso, vale a pena manter o desconfiômetro ligado e não passar informações, preencher cadastros ou realizar downloads que tenham aparência suspeita.