Vazam dados de saúde de jogadores e dirigentes do Palmeiras
Por Felipe Demartini • Editado por Claudio Yuge |
Dados pessoais e de saúde de jogadores, ex-atletas, dirigentes e funcionários da Sociedade Esportiva Palmeiras vazaram na internet após uma suposta exposição de informações da seguradora Porto Seguro. Nomes completos, CPFs e datas de nascimento aparecem no volume, juntamente com exames médicos realizados pelos indivíduos entre julho de 2018 e junho de 2020.
- Deep web | Saiba como evitar que seus dados sejam vazados
- Como proteger suas informações pessoais em uma sociedade movida por dados?
A denúncia feita ao Canaltech incluiu uma planilha divulgada publicamente na internet, com mais de 13,7 mil entradas, cada uma delas correspondendo a um procedimento de saúde realizado por alguém. Como estamos falando de atletas e ex-jogadores do time de futebol, incluindo equipes femininas, existem múltiplos registros pertencentes a uma mesma pessoa; um único indivíduo chega a aparecer com 258 entradas, enquanto 44 são citadas mais de 100 vezes.
Após organizados os dados, se descobriu que o volume indica o comprometimento de dados de 318 integrantes do clube, incluindo atletas que fazem parte do elenco atual do Palmeiras ou que fizeram história no time ao longo dos últimos anos. Também fazem parte do comprometimento membros da comissão técnica, executivos e membros da diretoria; não existem indícios de vazamento de informações de associados, torcedores e outros.
A fonte responsável pelo envio dos arquivos à reportagem associou este a dois outros vazamentos recentes, que também geraram a exposição de dados médicos de funcionários de empresas brasileiras como a operadora de viagens Decolar e a distribuidora Ultragaz. A associação entre estes comprometimentos e a Porto Seguro, entretanto, não foram confirmadas pela própria empresa, enquanto o Palmeiras atribuiu a exposição a um fornecedor de serviços.
Seja como for, a abertura de dados de saúde ao público representa severo risco à privacidade dos indivíduos expostos. Além da liberação de dados pessoais, as entradas também podem levar à revelação indesejada de condições de saúde, consultas ou internações em caráter de urgência. Muitos dos exames podem fazer parte do dia a dia de um atleta, mas o mesmo não pode ser dito de dirigentes e membros da comissão técnica, por exemplo.
Quando informada sobre o vazamento, o Palmeiras disse ter sido notificado recentemente sobre um possível incidente de segurança envolvendo dados de um fornecedor de serviços, com o qual trabalhou entre 2018 e 2020, mas não possui mais relação desde então. O clube disse também ter entrado em contato com essa empresa, cujo nome não foi revelado, em busca de maiores esclarecimentos.
Ao mesmo tempo, o time também disse ter realizado uma apuração interna que não teria encontrado indícios de violação aos sistemas internos do Palmeiras. Os dados expostos, afirma o clube, não estavam hospedados em seus servidores, que operam sob as melhores práticas de segurança. Confira a íntegra do pronunciamento:
Recentemente, tomamos ciência de um possível incidente de vazamento envolvendo um de nossos fornecedores de serviços. Importante destacar que este fornecedor prestou serviços entre os anos de 2018 e 2020 e, desde então, não possui mais qualquer relação com o clube. Tão logo tomamos ciência do caso, iniciamos uma apuração interna, seguindo os nossos protocolos relacionados à segurança da informação e contingenciamento de incidentes. Até o momento, podemos afirmar com certeza que nenhum diretório de dados do Palmeiras foi violado e os dados apresentados como amostra do vazamento nunca foram armazenados em nossos servidores. Já notificamos o antigo fornecedor para obter maiores informações e esclarecimentos acerca do incidente. Vamos acompanhar atentamente os desdobramentos do ocorrido. A segurança, privacidade e proteção de dados de todos os nossos colaboradores, atletas, sócios e fãs é uma alta prioridade para o Palmeiras. Para tanto, adotamos as melhoras práticas organizacionais, técnicas e administrativas relacionadas à segurança e governança de dados.
Já a Porto Seguro, quando contatada, disse estar ciente de que dados de empresas parceiras até meados de 2020 foram indevidamente expostos. Por outro lado, a empresa disse ter constatado, após apurações técnicas, que não houve comprometimento de seus sistemas de informação ou violações em sua base interna de dados. Confira o pronunciamento:
A Porto Saúde tomou conhecimento de que dados de algumas empresas parceiras, até meados de 2020, teriam sido indevidamente expostos em ambiente digital. A partir das apurações técnicas, conduzidas por equipe externa especializada e independente contratada para apoiar neste caso, constatou-se que não há evidências de comprometimento dos sistemas de tecnologia da informação ou de violação da base de dados interna da Porto Saúde. A companhia reforça que investe constantemente em segurança e tecnologia com o objetivo de prevenir esse tipo de ocorrência.
Quando expostos, dados de saúde podem levar a golpes e quebra de privacidade
As informações médicas comprometidas em incidentes como estes podem representar, como dito, graves brechas à privacidade dos indivíduos listados, que podem, simplesmente, não desejar que suas informações de saúde sejam públicas. Além disso, os dados de caráter específico também aumentam a incidência de fraudes envolvendo engenharia social.
De posse de nomes completos, CPFs, datas de nascimento e dados de saúde, criminosos podem entrar em contato com os indivíduos se passando por representantes do clube, do plano de saúde, hospitais ou consultórios, entre outras instituições, para obter mais informações ou solicitar pagamentos. Quando cruzados com informações de outros vazamentos, também se amplia a quantidade de registros que podem cair em mãos erradas.
Por isso, a recomendação aos expostos é o cuidado com contatos telefônicos ou através de mensagens. Desconfie de boletos, solicitações de pagamentos ou pedidos de transferência em nome de instituições de saúde, assim como pedidos para preencher cadastros ou supostas confirmações de informação. Sempre se certifique de estar falando com a instituição legítima antes de atender às solicitações.
Redes sociais, contas bancárias, contas de e-mails ou aplicativos de investimento, entre outras plataformas sensíveis, também devem ser acompanhadas de perto. Caso note qualquer movimentação estranha, o ideal é realizar a troca de senhas e a tomada de medidas de proteção, como bloqueio ou adoção de práticas adicionais de verificação, de forma a impedir mau uso das informações vazadas.