A cooperativa de saúde Unimed, por conta de uma falha em endpoints de uma unidade em Porto Alegre (RS), expôs os dados sensíveis de um número indeterminado de pacientes. As informações envolvem nome completo, email, telefone, número IP, CPF, histórico de exames, histórico de consultas, medicações e materiais usados.
O TecMundo recebeu uma amostra com 500 nomes (de um total de mil recolhidos até então) do pesquisador de segurança vulgo Xploit. O pesquisador afirmou que buscou contato com a Unimed, mas não obteve resposta.
Em conversa com Xploit, o explorador também afirmou que “na última vez que chequei, também era possível obter os resultados de exames de pacientes sem qualquer autenticação”.
- Endpoint é qualquer dispositivo conectado em uma rede privada ou corporativa que transmitem e recebem dados
A descoberta aconteceu após Xploit inserir o próprio CPF e ID de usuário em um formulário da Unimed e notar que houve retorno dos dados cadastrais sem autenticação. “Grande parte dos endpoints pede apenas CPF ou ID para realizar qualquer ação”, comentou.
O TecMundo entrou em contato com a Unimed, que entregou o seguinte posicionamento sobre o caso em específico:
“A Unimed Porto Alegre também conta com plano de resposta a incidentes e remediação, além de possuir um time específico de resposta a incidentes de segurança da informação e uma vasta estrutura de tecnologia e segurança da informação apta a incorporar as medidas de proteção, detecção e correção necessárias.
Não é a primeira vez que a Unimed teve problemas no que toca cibersegurança
Neste sentido, tão logo teve ciência da imputação de supostas fragilidades nos seus sistemas, a Unimed Porto Alegre instaurou o competente procedimento investigatório para viabilizar a coleta de todas as informações necessárias acerca do evento e adotar as medidas apropriadas para fins de detectar a origem da suposta vulnerabilidade e, caso necessário, conter e controlar eventuais sistemas afetados.
A Unimed Porto Alegre informa que está constantemente trabalhando em melhorias dos controles implementados, e que, até o momento, não foi constatado incidente que possa causar danos à algum titular de dados pessoais.
Os fatos seguirão sendo apurados e qualquer incidente relevante envolvendo dados pessoais será comunicado à ANPD. Estamos também à disposição para esclarecimentos adicionais, por intermédio do nosso Portal de Privacidade:
Amostra do leak na Unimed POA
Vazamentos anteriores
Não é a primeira vez que a Unimed teve problemas no que toca cibersegurança. Em outubro de 2022, a Unimed Belém se viu envolvida em um possível ataque de ransomware. Após confirmar uma tentativa de invasão, a instituição sofreu instabilidades em seu sistema.
Na época, o grupo responsável pelo ataque usou o ransomware RansomExx e publicou na dark web informações que teriam sido roubadas durante o ataque contra a Unimed Belém. Com cerca de 5,6 GB, os criminosos publicaram uma amostra de 12 arquivos compactados com documentos, segundo mostrou uma publicação da Ciso Advisor.
Dias depois, a empresa havia dito que não possuía “conhecimento sobre a extensão do ocorrido”.