Pfizer expôs dados de usuários de medicamentos

Pfizer expôs dados de usuários de medicamentos. Dados contêm conversas por escrito do atendimento e dados de pessoas que usam medicamentos da empresa.

A gigante farmacêutica Pfizer vazou dados médicos privados de usuários de medicamentos prescritos nos Estados Unidos por meses ou até anos, graças a um bucket de armazenamento em nuvem desprotegido do Google.

A consultoria de segurança VPNMentor, dos EUA, publicou na tarde da última terça-feira, dia 20 de outubro, um relatório informando que localizou dados sensíveis de usuários de remédios expostos por um servidor da empresa farmacêutica Pfizer. A consultoria publicou o seguinte cronograma dos fatos:

  • Data da descoberta: 9 de julho de 2020
  • Data de contato com a empresa: 13 de julho de 2020
  • Data da 2ª tentativa de contato: 19 de julho de 2020
  • Data da 3ª tentativa de contato com a Pfizer: 22 de setembro de 2020
  • Data da resposta da Pfizer: 22 de setembro de 2020
  • Data da proteção dos dados: 23 de setembro de 2020

Os dados expostos incluem transcrições de chamadas telefônicas e informações de identificação pessoal (PII), de acordo com a equipe de pesquisa de segurança cibernética da vpnMentor. As vítimas incluem pessoas que usam medicamentos como Lyrica, Chantix, Viagra, medicamento para menopausa Premarin e tratamentos de câncer, como Aromasin, Depo-Medrol e Ibrance. Algumas das transcrições estavam relacionadas a conversas sobre Advil, que é fabricado pela Pfizer em uma joint venture com a GlaxoSmithKline.

Inicialmente, suspeitamos que o balde mal configurado estava relacionado a apenas uma das marcas de medicamentos expostas”, explicaram os pesquisadores. “No entanto, após uma investigação mais aprofundada, encontramos arquivos e entradas conectadas a várias marcas de propriedade da Pfizer. Por fim, nossa equipe concluiu que o balde provavelmente pertencia à Unidade de Segurança de Medicamentos (DSU) da empresa.

As informações privadas incluem nomes completos, endereços residenciais, endereços de e-mail, números de telefone e detalhes parciais de saúde e estado médico, observou o vpnMentor. Mas talvez mais preocupantes sejam as transcrições, que estão relacionadas ao sistema automatizado de atendimento ao cliente da Pfizer.

 

A empresa capturou conversas com clientes ligando para o suporte ao cliente de resposta de voz interativa (IVR) da empresa perguntando sobre recargas, efeitos colaterais e similares.

“A pasta que contém as transcrições foi chamada de ‘escalonamentos’, sugerindo que faziam parte de um processo interno automatizado de gerenciamento de consultas e reclamações de clientes”, de acordo com uma postagem do blog vpnMentor no dia 20 de outubro. “Também revisamos as transcrições nas quais a conversa foi ‘escalada’ para agentes humanos de suporte ao cliente. Parece que esses agentes eram enfermeiras registradas que representam a Pfizer em questões relacionadas às suas marcas farmacêuticas.

Centenas de pessoas foram expostas, com algumas das informações datando de outubro de 2018. Os pesquisadores descobriram o balde aberto para a internet (sem a necessidade de senhas ou nomes de usuário) em julho. Depois de várias tentativas de contato com a empresa, o balde foi finalmente tornado privado em 23 de setembro.

Demorou dois meses, mas finalmente recebemos uma resposta da empresa”, de acordo com vpnMentor. “Quando eles finalmente responderam, tudo o que recebemos foi a seguinte declaração: ‘Pelo URL que você forneceu, não consegui ver como são dados importantes da Pfizer (ou mesmo dados importantes).’ Esta foi uma resposta surpreendente de uma das maiores empresas do mundo.

Depois de compartilhar um arquivo com uma amostra de dados privados dos clientes com a empresa, o bucket foi protegido, mas a vpnMentor não recebeu mais comunicações da Pfizer.

O Threatpost entrou em contato com a empresa para comentar e um porta-voz disse: “A Pfizer está ciente de que um pequeno número de registros de dados não pertencentes ao HIPAA em um sistema operado por um fornecedor usado para feedback sobre medicamentos existentes foram inadvertidamente disponíveis ao público. Levamos a privacidade e os comentários sobre o produto muito a sério. Para esse fim, quando tomamos conhecimento desse evento, garantimos que o fornecedor corrigiu o problema e que notificações em conformidade com as leis aplicáveis ​​serão enviadas aos indivíduos.

O relatório da consultoria diz que os arquivos estavam armazenados em um bucket mal configurado do Google Cloud Storage que tem especificações de serviço diferentes, para plataformas empresariais e clientes corporativos.

Fonte: VPMentor & Threatpost

Veja também:

Sobre mindsecblog 2385 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Sistemas do Superior Tribunal de Justiça (STJ) foram alvo de hackers r

Deixe sua opinião!