Vazamento expõe quase 6 milhões de dados de saúde dos brasileiros

Um grande vazamento de dados expôs mais de 5,8 milhões de registros de saúde, com consultas, procedimentos, exames e outros realizados por uma importante seguradora brasileira. O volume envolve informações de funcionários de 21 empresas do país, incluindo os da própria companhia da qual as informações teriam se originado.

• Deep web | Saiba como evitar que seus dados sejam vazados
• 6 problemas que podem resultar de vazamentos de dados em empresas

As entradas corresponderiam a planos de saúde contratados pelas organizações para uso por seus funcionários e dependentes. Amostras dos volumes expostos foram compartilhadas com o Canaltech por fontes que apontam a Porto Saúde como responsável pelas informações — a empresa, após auditoria, nega comprometimentos em seus sistemas internos.

Fazem parte deste vazamento dados pessoais como nomes completos, CPFs e datas de nascimento. Mais grave, porém, são os registros relacionados à utilização de planos de saúde entre 2016 e 2020, com direito a informações de procedimentos e as datas em que foram realizados. Não é possível saber quantas pessoas foram atingidas, pois nem todos os pacotes de dados foram apresentados à reportagem, enquanto cada um deles possui múltiplas entradas de um mesmo cidadão.

O vazamento é semelhante a outros que já foram publicados pelo Canaltech, atingindo empresas como Decolar, Ultragaz e o Esporte Clube Palmeiras. Na ocasião da publicação destas reportagens, as fontes ouvidas, que não são as mesmas que enviaram os novos relatos, também apontavam a Porto Saúde como a originária das informações expostas.

Fazem parte do volume apresentado à reportagem um hospital infantil, colégios e centros universitários, de ensino ou colocação profissional. Entre as empresas atingidas também estão uma rede internacional de hotéis, dois grandes nomes da tecnologia, uma estatal de transporte público e um banco. Fabricantes de eletrodomésticos e materiais de construção também tiveram informações de saúde de seus colaboradores comprometidas como parte deste vazamento.

Alguns dos volumes obtidos como parte dessa exposição foram liberados publicamente em postagens no extinto fórum Breached. Segundo a fonte ouvida pelo Canaltech, tais divulgações seriam parciais, e enquanto as informações não teriam valor no mercado para serem vendidas a terceiros, isso não significa que elas não podem ser divulgadas livremente em algum momento.

Quebra de sigilo e risco de golpe

A publicação de dados relacionados à saúde pode expor os usuários de forma direta, revelando enfermidades ou condições que eles podem não desejar tornar públicas. Em meio às amostras analisadas durante a apuração estão registros de cirurgias e consultas emergenciais, assim como avaliações psicológicas e exames de gravidez ou doenças sexualmente transmissíveis.

Da mesma maneira, o vazamento também expõe as informações de crianças, adolescentes e idosos, que podem ser filhos ou pais dos funcionários das companhias, recebendo assistência do plano de saúde empresarial como dependentes. Além disso, dados pessoais de pessoas célebres também podem aparecer em meio ao volume, dada a presença de uma grande produtora do cinema nacional e uma rede de televisão pública entre as atingidas.

Além da quebra de privacidade, a liberação de informações também expõe os cidadãos a tentativas de golpe. Em cruzamento com outros vazamentos de dados, criminosos poderiam encontrar informações como números de telefone, e-mails e até endereços, levando à possibilidade de fraude contra as vítimas.

Os bandidos podem se passar como representantes dos hospitais ou unidades de saúde solicitando pagamentos adicionais ou a confirmação de dados financeiros. Nos casos mais sensíveis, o vazamento de informações também pode levar a tentativas de extorsão ou ameaças diretamente relacionadas às condições de saúde ou exames abertos pelo comprometimento de informações.

Por isso, a recomendação aos trabalhadores das empresas atingidas é de atenção a contatos que sejam feitos por e-mail, telefone ou mensagem, seja em nome da Porto Saúde, da própria companhia ou de instituições de saúde. Jamais passe dados ou dê detalhes pessoais em abordagens desse tipo, enquanto e-mails, redes sociais e aplicativos financeiros devem ser acompanhados de perto em busca de sinais de intrusão ou movimentações estranhas.

O que diz a seguradora

Em resposta ao Canaltech, a Porto Saúde disse ter realizado apurações técnicas que não localizaram sinais de comprometimento de seus sistemas ou violações de bases de dados internos. A companhia também disse investir constantemente em tecnologia para proteção destas informações, confira a íntegra:

A empresa informa que, a partir das apurações técnicas, conduzidas por equipe externa especializada e independente contratada para apoiar neste caso, constatou-se que não há evidências de comprometimento dos sistemas de tecnologia da informação ou de violação da base de dados interna da Porto Saúde. A companhia reforça que investe constantemente em segurança e tecnologia com o objetivo de prevenir esse tipo de ocorrência.