Exclusivo: Falha de segurança em app expõe dados de clientes da Drogaria São Paulo

Views: 362
0 0
Read Time:4 Minute, 13 Second

Integrantes do grupo hacker Dark Army identificados como “n1n3ty” e “K4MIK4Z”, informaram com exclusividade para esta coluna, que uma falha na segurança dos aplicativos da empresa do grupo DPSP – que é dono da Drogaria São Paulo -, expõe dados de usuários para terceiros há pelo menos um ano.

Embora a empresa afirme que os dados sejam apenas para uso interno e que estão em segurança, agora sabemos que isso não é verdade.

A falha no aplicativo mobile “Meu Viva Saúde”, possibilita obter acesso a conta de qualquer cliente apenas inserindo o CPF do usuário e a encaminhado um SMS que volta o token de acesso no response da requisição.

O aplicativo possui mais de meio milhão de downloads na Play Store e segundo o site da própria empresa, eles atendem mais de 8 milhões de clientes por mês.

Segundo os hackers, um ponto interessante que é você pode alterar o prazo de validade dos cupons de desconto que eles disponibilizam neste app que por padrão é de um dia, além de permitir o envio de spam para qualquer usuário no Brasil com inúmeros SMS enviados.

O outro aplicativo da mesma empresa seria uma loja virtual que é possível obter acesso a informações de alguns clientes em um processo que optamos em não revelar com detalhes, mas que ao trocar o campo “client_id” por um “*” retorna uma lista de usuários.

A falha permite também que a sessão deste usuário possa ser “sequestrada” para uso de terceiros. Isso permite saber se o cliente possui algum convênio médico e qual seria.

Segundo a fonte, eles não validam os tokens de sessão na conta do usuário logado e mesmo possuindo serviços de login através de leitura facial e impressão digital, estas camadas de segurança não impedem o acesso de dados dos clientes por terceiros. 

Ainda segundo o relato do hacker “n1n3ty”, que também afirma ser um ex-funcionário da empresa, muitos clientes reclamavam de como eles obtêm, de alguma forma, o registro de seus convênios médicos, alegando que não teriam fornecido essa informação.

Caso empresas de planos de saúde tenham acesso à essas informações, poderiam aumentar o valor de seu plano de saúde pressupondo seu estado de saúde com base nos medicamentos que comprou. Mesmo que não sejam para você.

Ministério Público

Em 2018, a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) iniciou investigação para apurar a prática de coleta de CPFs realizado por farmácias. A suspeita seria de que as drogarias estariam gerando perfis de consumo de cidadãos e possível compartilhamento e/ou venda para parceiros sem a autorização ou ciência dos usuários.

A falha nas aplicações da Drogaria São Paulo permitem que outras pessoas acessem (sem o seu consentimento) informações como: e-mail, telefone, nome completo, CPF, se você faz uso de medicamentos de uso contínuo e até mesmo para qual empresa você trabalha, além de trazer também o seu convênio. Tudo isso somado a falta de transparência da finalidade da coleta de dados nas farmácias.

Já que quando você pergunta o motivo para isso recebe como resposta “é para ganhar desconto pelo seu plano de saúde”.

LGPD

O governo Bolsonaro, inclusive, tentou postergar a entrada em vigor da LGPD com a Medida Provisória 959 que adia a vigência para 3 de maio de 2021.

Porém não há só esse problema, mesmo com a lei entrando em vigor em agosto deste ano, as sanções ficaram apenas para  agosto de 2021.

Além disso, o governo federal também não cumpriu sua parte, já que é missão exclusiva do governo federal criar a Autoridade Nacional de Proteção de Dados conforme consta na PL 1.179/20.

Caso as falhas fossem reportadas em agosto do ano que vem, ambas as empresas poderiam ter que pagar multas que poderão chegar a R$ 50 milhões por cada infração cometida na falha que expôs os dados de milhões de clientes e consumidores.

Em 2019, a IBM em parceria com o Instituto Ponemon, publicou uma série de pesquisas relacionadas à proteção de dados. Os relatórios mostraram que embora o Brasil ocupe a quarta posição em volume de dados vazados por incidente, é também um dos países que menos responsabiliza as empresas que fizeram a má gestão de suas informações.

A cada incidente no Brasil, 26.523 registros de informação foram vazados, atrás apenas do Oriente Médio (38.800), Índia (35.636) e EUA (32.434).

E embora seja o quarto país em quantidade de dados vazados por cliente, ele fica no final da lista (entre os quatro últimos) quando o assunto é a reação dos consumidores.

Além disso o país ainda ocupa a vice-liderança quando o assunto é dias para identificação e contenção incidentes de vazamento de dados e embora tenha uma quantidade de dados vazados menor que os Estados Unidos (32.434), o país ainda leva o dobro de tempo (111 dias) para conter uma falha na segurança.

A coluna entrou em contato com a Drogaria São Paulo, mas até o momento não obteve retorno.

FONTE: REVISTA FORUM

Previous post Como saber se seu celular está sendo rastreado e se proteger contra spywares
Next post Um terço dos profissionais brasileiros desconhece os riscos de um ciberataque

Deixe um comentário