Vazamento expõe dados de saúde de funcionários da Decolar

Dados sensíveis de funcionários da Decolar vazaram no início deste mês de novembro, após uma suposta brecha em uma seguradora que presta serviços à companhia. O volume com cerca de seis mil entradas foi publicado em um fórum cibercriminoso e contém, além de informações pessoais, detalhes relacionados à saúde de antigos e atuais funcionários da empresa de viagens.

• Deep web | Saiba como evitar que seus dados sejam vazados
• Vazamento de dados corporativos aumentou 78% em 2021; saiba como se proteger

A denúncia feita ao Canaltech incluiu o link para a publicação, com todos os dados disponíveis publicamente, e também uma amostra das informações divulgadas. Nela, aparecem nomes completos, CPFs e datas de nascimento; mais grave, porém, são as informações sobre consultas e procedimentos médicos realizados entre 2019 e 2020.

São informações consideradas altamente sensíveis, que podem levar à revelação indesejada de condições de saúde pelas pessoas expostas. Na amostra visualizada pela reportagem, por exemplo, há registros sobre internações em caráter de urgência, testes de gravidez, datas de partos, exames gerais e também específicos, incluindo testes de doenças sexualmente transmissíveis, assim como medicamentos administrados aos indivíduos.

Foi possível encontrar múltiplas entradas das mesmas pessoas em meio ao volume, o que dificulta saber exatamente quantos trabalhadores que utilizaram o seguro saúde durante os anos citados foram atingidos. O responsável pela publicação original, identificado apenas como darklyn, voltou a publicar nesta semana, afirmando que mais dados da empresa de viagens serão revelados, sem informar o caráter das informações que estão por vir nem a origem deste suposto vazamento adicional.

Dados de clientes, porém, não fazem parte do volume comprometido, em uma informação que foi posteriormente confirmada pela Decolar. Em contato com a reportagem, a companhia disse que não houve qualquer incidente cibernético ou vazamento de informações de seus sistemas, com as informações tendo origem nas plataformas de um parceiro, a Porto Seguro, que fornece convênios de saúde para a empresa de viagens. Confira a íntegra:

A Decolar informa não ter sofrido qualquer tipo de incidente de segurança ou vazamento de dados. Tão logo procurada pelo Canaltech, acionou sua equipe especializada, identificando que – em razão da natureza dos dados – há indícios de que o incidente apontado possivelmente ocorreu no ambiente do seu fornecedor Porto Seguro–Seguro Saúde. Os dados envolvidos não são de clientes, apenas e tão somente dados de saúde de colaboradores da Decolar. A Porto Seguro informou que está apurando o ocorrido e que adotou as medidas cabíveis. A Decolar colocou sua equipe forense à disposição do fornecedor para auxiliar nesses procedimentos. A Decolar assegura a seus profissionais e seus clientes que cumpre todos os protocolos de segurança e está em plena conformidade com a LGPD, para o tratamento adequado dos dados.

Já em retorno ao Canaltech, a Porto Saúde disse estar ciente da exposição de informações relacionadas às empresas parceiras, com data até meados de 2020. A fornecedora de seguros, entretanto, afirma não haver evidências de que seus sistemas e bancos de dados internos tenham sido comprometidos, mas que está trabalhando ao lado das atingidas para entender a origem dos vazamentos:

A Porto Saúde tomou conhecimento de que dados de algumas empresas parceiras, até meados de 2020, teriam sido indevidamente expostos em ambiente digital. Desde que foi contatada por essas empresas, vem empregando medidas para contribuir com a apuração sobre a origem desses dados e não há evidências de comprometimento dos sistemas e bases de dados internas da Porto Saúde. A companhia reforça que investe constantemente em segurança e tecnologia com o objetivo de prevenir esse tipo de ocorrência.

Exposição de informações pode levar a golpes e extorsão

O vazamento de informações pessoais desse tipo pode levar à ocorrência de fraudes contra os indivíduos expostos. Nomes e CPFs, por exemplo, podem ser cruzados com outras bases de dados vazados nos últimos anos, levando à descoberta de mais informações sobre as vítimas, que podem ser usadas em golpes direcionados ou incidentes de roubo de identidade.

No caso dos dados de saúde, entretanto, a situação fica um pouco mais grave, pois o vazamento pode representar uma grave quebra na privacidade dos indivíduos. Ataques combinados podem levar à extorsão ou ameaças relacionadas às situações expostas, bem como à simples divulgação pública de condições, tratamentos ou doenças que os trabalhadores podem desejar manter em sigilo.

A eles, a recomendação é de atenção para contatos em nome da Decolar, Porto Saúde e outras companhias relacionadas, que podem representar tentativas de obtenção de novos dados ou pagamentos fraudulentos, sob alegação de estarem relacionados aos tratamentos. Redes sociais, e-mails e contas em empresas financeiras também devem ser acompanhadas de perto em busca de sinais de intrusão ou movimentações estranhas que possam ser decorrentes deste vazamento.

Correção 22/11/2022 10h28: A reportagem, originalmente, dizia que milhares de funcionários da Decolar haviam sido atingidos pelo vazamento; em contato, a empresa esclareceu que seu quadro de trabalhadores é menor que isso. O Canaltech aguarda mais informações sobre o número de pessoas cujos dados foram comprometidos neste incidente para uma nova atualização.