O Departamento de Serviços Humanos de Illinois (IDHS), uma das maiores agências estaduais, expôs acidentalmente dados pessoais e de saúde de quase 700 mil moradores por conta de configurações incorretas de privacidade.
A falha foi descoberta em 22 de setembro, quando a agência identificou que mapas elaborados pela Divisão de Serviços para Família e Comunidade do IDHS — usados internamente para decisões de alocação de recursos — estavam publicamente acessíveis em um site de mapeamento devido a controles de privacidade mal configurados.
Esses mapas, que deveriam ser utilizados exclusivamente internamente para orientar decisões, como a localização de escritórios, ficaram disponíveis online por vários anos até a identificação do problema no ano passado.
O vazamento afetou dois grupos de moradores de Illinois. Aproximadamente 672.616 beneficiários dos programas Medicaid e Medicare Savings tiveram expostos seus endereços, números de casos, informações demográficas e nomes dos planos de assistência médica entre janeiro de 2022 e setembro de 2025, embora seus nomes não tenham sido divulgados.
Outro grupo menor, composto por 32.401 clientes da Divisão de Serviços de Reabilitação, teve dados como nomes, endereços, números e status dos casos, além das fontes de indicação, expostos entre abril de 2021 e setembro de 2025.
“Em 22 de setembro de 2025, o IDHS descobriu que mapas elaborados pelo Bureau de Planejamento e Avaliação da Divisão de Serviços para Família e Comunidade estavam publicamente visíveis em um site de mapeamento, em razão de configurações incorretas de privacidade”, informou o órgão.
“O site de mapeamento não permite identificar quem visualizou os mapas. Até o momento, o IDHS não tem conhecimento de qualquer uso indevido ou tentativa de uso indevido dessas informações pessoais decorrente deste incidente.”
Após a descoberta, o IDHS restringiu o acesso aos mapas apenas para funcionários autorizados, concluindo o bloqueio em 26 de setembro.
A agência também revisou todos os mapas expostos e implementou mecanismos para impedir o envio de informações identificáveis de clientes a plataformas públicas de mapeamento.
O órgão está notificando as pessoas afetadas, conforme exige a legislação federal de privacidade da saúde, e comunicou o incidente às autoridades regulatórias competentes.
Em dezembro de 2024, o IDHS revelou outro incidente de segurança: hackers invadiram múltiplas contas de funcionários a partir de um ataque de phishing, acessando informações pessoais de 1.166.094 pessoas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...