Unimed expôs dados sensíveis de usuários
6 de Setembro de 2023

A cooperativa de saúde Unimed expôs os dados sensíveis de um número indeterminado de pacientes devido a uma falha nos endpoints de uma de suas unidades em Porto Alegre (RS).

Dentre as informações expostas estão o nome completo, email, telefone, número IP, CPF, histórico de exames e consultas, medicamentos e materiais utilizados.

A denúncia foi feita ao TecMundo pelo pesquisador de segurança conhecido como Xploit, que entrou de posse de uma amostra com 500 nomes (de um total de mil recolhidos até então).

Xploit afirmou ter tentado entrar em contato com a Unimed, mas não obteve resposta.

Em conversa com o pesquisador, ele comentou que "na minha última verificação, também era possível obter os resultados dos exames dos pacientes sem qualquer autenticação".

- Endpoints referem-se a qualquer dispositivo conectado em uma rede privada ou corporativa que transmite e recebe dados.

A descoberta foi feita após Xploit inserir seu próprio CPF e ID de usuário em um formulário da Unimed e notar que houve o retorno dos dados cadastrais sem necessidade de autenticação.

"A maioria dos endpoints só pede CPF ou ID para realizar qualquer ação", comentou.

O TecMundo entrou em contato com a Unimed, que deu o seguinte posicionamento sobre o caso:

“A Unimed Porto Alegre tem um plano de resposta a incidentes, além de um time específico para lidar com problemas de segurança da informação.

A descoberta das supostas falhas em nossos sistemas levou à abertura de um procedimento investigatório.

Estamos trabalhando continuamente para melhorar nossos controles e, até o momento, não detectamos nenhum incidente que possa prejudicar a titularidade dos dados pessoais.

Estamos à disposição para mais esclarecimentos”.

Esse não é o primeiro problema de cibersegurança enfrentado pela Unimed.

Em outubro de 2022, a Unimed Belém foi alvo de um possível ataque de ransomware.

Após confirmar a tentativa de invasão, a instituição enfrentou instabilidades em seu sistema.

Na ocasião, o grupo responsável pelo ataque utilizou o ransomware RansomExx e publicou na dark web informações supostamente roubadas da Unimed Belém.

Poucos dias depois, a empresa afirmou não ter conhecimento sobre a extensão do ocorrido.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...