A empresa de tecnologia em saúde Xsolis informou que dados sensíveis de quase 1,4 milhão de pessoas foram comprometidos em um ataque de phishing que deu aos invasores acesso à sua rede.
Embora a companhia afirme não ter conhecimento de qualquer tentativa de uso indevido das informações expostas, ela alerta as pessoas afetadas a ficarem atentas a possíveis ataques direcionados.
A Xsolis é uma empresa norte-americana do setor de saúde que desenvolve software com IA usado por mais de 600 hospitais e planos de saúde em processos de gestão de utilização, revisão de necessidade médica, definição do status do paciente, planejamento de alta e decisões de reembolso.
Sua principal plataforma, a Dragonfly, analisa dados clínicos em tempo real para ajudar provedores de saúde e pagadores a tomar decisões mais informadas e consistentes sobre o atendimento ao paciente e a cobertura do seguro.
Em 22 de janeiro, a empresa detectou atividade não autorizada em sua rede por causa de um ataque de phishing direcionado ocorrido dois dias antes.
A Xsolis afirma que agiu imediatamente para conter a invasão e iniciou uma investigação com o apoio de especialistas externos em cibersegurança.
“Em 22 de janeiro de 2026, a Xsolis tomou conhecimento de atividade não autorizada que afetou uma parte limitada do ambiente da Xsolis, resultante de um ataque de phishing direcionado em 20 de janeiro de 2026”, informou a empresa.
“Contivemos a atividade imediatamente e iniciamos uma investigação com a assistência de especialistas externos em cibersegurança.”
A investigação constatou que os invasores acessaram determinados arquivos dentro do ambiente da Xsolis com informações de clientes, incluindo:
Nomes
Endereços
Datas de nascimento
Informações de plano de saúde
Números de Seguro Social
Informações sobre tratamentos médicos
Segundo dados enviados ao Departamento de Saúde e Serviços Humanos dos Estados Unidos, 1.396.519 pessoas foram afetadas.
A empresa comunicou o incidente às autoridades, implementou medidas adicionais de segurança e está notificando por carta as pessoas potencialmente afetadas.
Um exemplo do aviso de data breach divulgado pela Xsolis informa que a empresa redefiniu as senhas de todos os usuários e de contas importantes, ampliou o monitoramento dos sistemas e concluiu a implementação de medidas de segurança atualizadas.
Além disso, o programa de treinamento em segurança para funcionários foi acelerado e os mecanismos de gestão de credenciais foram reforçados.
Se o cliente afetado for uma criança, a Xsolis enviará a notificação aos pais ou responsáveis legais.
Os destinatários das notificações também encontrarão instruções para se inscrever em um serviço de monitoramento de identidade e recuperação contra roubo de identidade por 12 meses, oferecido pela Kroll.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...