Vazamento expõe dados de saúde de quase 6 milhões de pessoas no Brasil

04/05/2023 mindsecblog LGPD & PRIVACY, Notícias 4

Vazamento expõe dados de saúde de quase 6 milhões de pessoas no Brasil. O incidente expôs informações pessoais de funcionários que atuam em 21 empresas brasileiras

Um vazamento de dados, que atingiu mais de 5,6 milhões de pessoas, foi descoberto na última semana. Além de informações de saúde, como históricos de consultas, procedimentos e exames realizados por profissionais assegurados, o incidente impactou também informações da própria seguradora atacada.

De acordo com informações divulgadas, amostras dos dados expostos que foram compartilhadas por fontes, apontam a Porto Saúde como responsável pelas informações vazadas. No entanto, ainda segundo o site, a seguradora de saúde nega qualquer tipo de ataque a seus sistemas.

A empresa informou em nota que “a partir das apurações técnicas, conduzidas por equipe externa, constatou-se que não há evidências de comprometimento dos sistemas de tecnologia da informação ou de violação da base de dados interna da Porto Saúde”. A companhia ainda reforçou que investe constantemente em segurança e tecnologia, a fim de prevenir esse tipo de incidente.

Além dos dados de saúde, o vazamento também expôs informações pessoais como nome completo, CPFs e datas de nascimento dos funcionários de empresas, como hospital infantil, colégios e centros universitários, de ensino ou colocação profissional. Os dados expostos além de gerarem desconforto por conta da sensibilidade das informações — como laudos médicos, também podem colocar as vítimas como alvos de golpes cibernéticos.

Nesse sentido, a ESET alerta para alguns pontos que você deve prestar atenção caso tenha seus dados vazados:

Vishing: ao ter o telefone e informações pessoais vazadas, grupos de cibercriminosos podem se passar pelas vítimas para seus conhecidos, e solicitar com urgência ao destinatário da ligação a entrega de dinheiro, seja fisicamente ou por meio de uma conta bancária. Muitas vezes, os criminosos usam métodos de manipulação emocional, como choro falso ou apelo a um incidente sofrido pela suposta vítima conhecida, para garantir credibilidade.

Fraudes de SIM Swap: essa técnica é utilizada em conjunto com outras engenharias sociais para obter benefícios, pois o que os criminosos procuram neste caso é o acesso aos códigos de verificação que as empresas, plataformas e bancos costumam enviar para nossos smartphones através do número de telefone. Os criminosos tentam obter clonar o SIM do usuário a fim de receber os códigos de verificação por SMS (autenticação de dois fatores).

Criação de perfis falsos: ataques de engenharia social que tem o intuito de conduzir a vítima a realizar algum procedimento que beneficie os criminosos com informações, bens ou dinheiro, são muito comuns. Ao ter dados como nome completo e data de nascimento vazados, a criação de perfis falsos ficam muito mais fáceis e críveis.

Senhas fracas: são bastante comuns, e compõem uma lista que é repetida ano após ano, incluindo “123456”, “password” e “qwerty” no top 5. Além desses exemplos clássicos, há outros erros comuns entre os usuários mais descuidados — como o uso de datas de nascimento ou números de documentos oficiais como fator de segurança.

Essas práticas não são seguras porque, além de possíveis vazamentos de dados, técnicas o OSINT, sigla para Open Source Intelligence, podem perfeitamente encontrar essas informações na internet.