Topo

Falha em sistema da Unimed expõe dados pessoais e até exames de pacientes

Estúdio Rebimboca/UOL
Imagem: Estúdio Rebimboca/UOL

Marcella Duarte

Colaboração para Tilt

17/11/2019 13h15

Sem tempo, irmão

  • CPF, exames e outros dados pessoais de clientes Unimed estariam vulneráveis
  • Não se sabe quantos dos 18 milhões de clientes da operadora foram afetados
  • Unidades de Imperatriz (MA), São Leopoldo (RS) e Teresina (PI) estariam entre afetadas
  • Em nota, empresa diz que vai investigar caso e que unidades têm autonomia de gestão

Falhas nos bancos de dados da operadora de planos de saúde Unimed Brasil estariam permitindo acesso à ficha cadastral e ao histórico médico de seus clientes, incluindo exames, como raio-X e ultrassom, certidões de óbito e outros documentos particulares.

A falha foi anunciada na quarta-feira (13) no site Olhar Digital, e confirmado pela reportagem de Tilt, por pesquisadores do grupo de segurança WhiteHat Brasil, que analisou o sistema por cerca de um mês. Ainda não foi divulgado quantos pacientes teriam sido afetados —a Unimed tem mais de 18 milhões de beneficiários por todo o país.

Os pesquisadores identificaram não uma, mas várias brechas de segurança, em diversas unidades espalhadas pelo Brasil. Foram citadas as cidades Imperatriz (MA), São Leopoldo (RS), Teresina e Parnaíba (PI). Além dos dados dos pacientes, estariam expostas informações da empresa, como logins dos médicos, emails internos e planilhas financeiras.

As fichas cadastrais incluem dados pessoais como nome completo, CPF, nome da mãe, código beneficiário, email e dependentes. Essas informações já seriam suficientes para ataques de hackers ou golpes de engenharia social.

"Pessoas mal-intencionadas poderiam entrar em contato com o cliente dizendo que há alguma pendência de pagamento que precisa ser acertada para que seu plano saúde não seja cancelado. Os dados pessoais também podem ser vendidos da dark web ou serem incluídos em listas de phishing para ataques futuros", acredita Daniel Barbosa, especialista de segurança da informação da ESET.

Atestado de óbito que teria vazado do banco de dados da Unimed, segundo grupo WhiteHat Brasil - Reprodução
Atestado de óbito que teria vazado do banco de dados da Unimed, segundo grupo WhiteHat Brasil
Imagem: Reprodução

Ele acredita que o problema deve atingir apenas alguns sistemas de cidades específicas e não a empresa inteira. "É possível, sim, mas creio que não se trate de um problema geral. A Unimed não tem um padrão de controle de informação, cada unidade é responsável por si. E isso é um grave risco para a segurança dos dados."

A WhiteHat alerta que qualquer um com acesso ao banco de dados pode alterá-lo, incluir ou excluir informações, e até se comunicar com os clientes, utilizando o sistema da própria Unimed e até a assinatura dos profissionais.

Ainda não foram revelados detalhes técnicos das falhas. "Só com as informações divulgadas, não é possível identificar quais são as vulnerabilidades do sistema. Os bancos de dados e documentos digitalizados podem ter sido colocados na internet da maneira errada ou configurados de forma não segura, permitindo que criminosos acessem esses dados com mais dificuldade", ressalta Daniel.

Se você é cliente da Unimed, não precisa se desesperar: apenas fique atento às comunicações que receber. O especialista aconselha: "Desconfie sempre que for solicitado o pagamento de qualquer coisa, principalmente por transferência bancária. Entre em contato ativamente com a companhia, ligue para confirmar se isso e verídico e necessário".

Essa dica é válida para mensagens de qualquer empresa. Recentemente, tivemos diversas notícias de grandes bancos de dados expostos, incluindo da Vivo e do Bradesco. Algumas dicas importantes:

  • nunca confirme seus dados cadastrais por telefone ou e-mail;
  • cuidado ao abrir e-mails e baixar anexos;
  • não faça cadastro em qualquer site, principalmente se pedir CPF

Atenção redobrada aos smartphones. "Precisamos cuidar de todos os dispositivos, seja um computador de mesa, notebook, celular, tablet. É essencial ter um software de segurança em cada um eles. E não apenas instalado, mas ativo para impedir qualquer ataque. É necessário configurá-lo para bloquear as tentativas", alerta Daniel.

Outro lado

Presente em 84% do território nacional, a Unimed tem mais de 18 milhões de beneficiários, 115 mil médicos cooperados e 119 hospitais gerais próprios.

A empresa se posicionou, em nota, sobre o caso. Disse que "investe continuamente em tecnologias que garantam a segurança das suas operações e a proteção dos dados pelos quais é responsável", e que sua área de tecnologia "tem recebido atenção especial, adotando medidas e procedimentos técnicos que visam à proteção dos dados e à privacidade de seus beneficiários".

A Unimed reforçou ainda "compromisso em zelar pela segurança das informações e pelo sigilo dos dados de quem se relaciona com a marca" e "compromete-se a investigar de forma minuciosa qualquer suspeita de vazamentos ou ataques cibernéticos".

O plano segue a legislação cooperativista, e por isso cada unidade possui autonomia de administração, inclusive com sistemas de gestão distintos. "Sendo assim, não há necessariamente reflexos da situação de uma cooperativa nas outras que compõem o Sistema", esclareceu.

SIGA TILT NAS REDES SOCIAIS

Dados