Gigante farmacêutica Pfizer vaza informações de prescrição de clientes, transcrições de chamadas

Views: 384
0 0
Read Time:5 Minute, 35 Second

Centenas de pacientes médicos que tomam drogas contra o câncer, Premarin, Lyrica e mais estão agora vulneráveis a phishing, malware e fraude de identidade.

Atualização

A gigante farmacêutica Pfizer vazou os dados médicos privados de usuários de medicamentos prescritos nos EUA por meses ou até anos, graças a um balde de armazenamento google cloud desprotegido.

Os dados expostos incluem transcrições de chamadas telefônicas e informações pessoalmente identificáveis (PII), de acordo com a equipe de pesquisa de segurança cibernética da VPNMentor. As vítimas incluem pessoas que usam fármacos como Lyrica, auxílio à cessação do tabagismo Chantix, Viagra, medicamento para menopausa Premarin, e tratamentos contra o câncer como Aromasin, Depo-Medrol e Ibrance. Algumas das transcrições estavam relacionadas a conversas sobre a Advil, que é fabricada pela Pfizer em uma joint venture com a GlaxoSmithKline.

“Inicialmente, suspeitamos que o balde desconfigurado estivesse relacionado a apenas uma das marcas de medicamentos expostas”, explicaram os pesquisadores. “No entanto, após uma investigação mais aprofundada, encontramos arquivos e entradas conectados a várias marcas pertencentes à Pfizer. Eventualmente, nossa equipe concluiu que o balde provavelmente pertencia à Unidade de Segurança de Drogas (DSU) da empresa nos EUA.”.

O PII inclui nomes completos, endereços residenciais, endereços de e-mail, números de telefone e detalhes parciais para saúde e estado médico, observou o VpnMentor. Mas talvez mais preocupantes sejam as transcrições, que estão relacionadas ao sistema automatizado de suporte ao cliente da Pfizer.

Um registro redigido encontrado no banco de dados aberto. Fonte: vpnMentor. Clique para ampliar.

A empresa capturou conversas com clientes chamando o suporte interativo de resposta de voz (IVR) da empresa perguntando sobre recargas, efeitos colaterais e similares.

“A pasta contendo as transcrições foi chamada de ‘escalonamentos’, sugerindo que eles faziam parte de um processo interno automatizado gerenciando consultas e reclamações de clientes”, de acordo com um post no blog da VPNMentor na terça-feira. “Também revisamos transcrições nas quais a conversa foi ‘escalada’ para agentes humanos de suporte ao cliente. Parece que esses agentes eram enfermeiros registrados representando a Pfizer em questões relacionadas às suas marcas farmacêuticas.”

Centenas de pessoas foram expostas, com algumas das informações que datam de outubro de 2018. Pesquisadores descobriram o balde aberto à internet (sem senhas ou nomes de usuário necessários) em julho. Após várias tentativas de contato com a empresa, o balde foi finalmente privado em 23 de setembro.

“Demorou dois meses, mas eventualmente, recebemos uma resposta da empresa”, segundo a vpnMentor. “Quando eles finalmente responderam, tudo o que recebemos foi a seguinte declaração: ‘Da URL que você deu, eu falhei em ver como é importante os dados da Pfizer (ou mesmo um dado importante em tudo).” Essa foi uma resposta surpreendente de uma das maiores empresas do mundo.”

Depois de compartilhar um arquivo com uma amostra dos dados pii dos clientes com a empresa, o balde foi protegido, mas o vpnMentor não recebeu mais nenhuma comunicação da Pfizer, disse ele.

Quando o Threatpost procurou a gigante farmacêutica para comentar, um porta-voz disse: “A Pfizer está ciente de que um pequeno número de registros de dados não-HIPAA em um sistema operado por fornecedores usado para feedback sobre medicamentos existentes estavam inadvertidamente disponíveis publicamente. Levamos a privacidade e o feedback do produto extremamente a sério. Para isso, quando tomamos conhecimento deste evento, garantimos que o fornecedor corrigisse o problema e as notificações em conformidade com as leis aplicáveis fossem enviadas aos indivíduos.”

Sem prescrição para cibersaúde

Há uma variedade de ataques que os cibercriminosos poderiam realizar se tivessem tido acesso às informações. Não está claro quanto tempo no total o balde foi exposto, e não há como saber se tipos nefastos mergulharam nele.

Por um tempo, os hackers poderiam montar campanhas de phishing altamente convincentes usando uma combinação do PII e os detalhes das prescrições médicas que os alvos estão tomando.

“Os hackers poderiam facilmente enganar as vítimas, aparecendo como o departamento de suporte ao cliente da Pfizer e fazendo referência às conversas que ocorrem nas transcrições”, explicaram os pesquisadores da VPNMentor.

Eles acrescentaram: “Por exemplo, muitas pessoas estavam perguntando sobre recargas de prescrição e outras consultas. Tais circunstâncias dão aos cibercriminosos uma grande oportunidade de se passarem pela Pfizer e solicitar detalhes do cartão para prosseguir com as recargas.”

Os atacantes também poderiam usar os dados para phish informações adicionais sobre um paciente, como seu endereço residencial, e poderiam a partir daí roubar completamente a identidade da pessoa. Eles poderiam sequestrar recargas de prescrição, ou, na pior das hipóteses, “destruir o bem-estar financeiro de uma pessoa e criar uma tremenda dificuldade em suas vidas pessoais”.

E depois há o aspecto do malware. Um link malicioso em um e-mail convincente pode levar à execução de malware no dispositivo do usuário, o que, por sua vez, poderia comprometer toda uma rede à qual o dispositivo está conectado.

Pesquisadores da vpmMentor também apontaram as possíveis ramificações de segurança física da exposição.

“Há uma grande probabilidade de as pessoas expostas nessas transcrições estarem passando por problemas de saúde, física e emocionalmente”, segundo o relatório. “Um dos medicamentos referenciados, Lyrica, usado para tratar transtornos de ansiedade, enquanto outros, como Ibrance e Aromasin, são usados no tratamento do câncer. No momento da violação de dados, o coronavírus ainda estava surgindo em todo os EUA. Se os cibercriminosos tinham roubado ou fraudado alguém que tomava medicação para ansiedade de alguma forma, o impacto potencial em sua saúde mental é imensurável e impossível de subestimar.”

Configurações de nuvens incorretas

Uma porcentagem muito grande de bancos de dados em nuvem contendo informações altamente confidenciais estão disponíveis publicamente, uma análise em setembro encontrou. O estudo da Comparitch mostrou que 6% de todos os baldes do Google Cloud são desconfigurados e deixados abertos à internet pública, para qualquer pessoa acessar seus conteúdos.

E 2020 teve sua parcela de incidentes de alto perfil. Na semana passada, a Broadvoice, uma conhecida provedora de VoIP que atende pequenas e médias empresas, descobriu ter vazado mais de 350 milhões de registros de clientes relacionados ao conjunto de comunicações baseado em nuvem “b-hive” da empresa.

Entre outros incidentes neste outono, estima-se que 100.000 clientes da Razer, um fornecedor de equipamentos de jogos high-end que variam de laptops a vestuário, tiveram suas informações privadas expostas através de um servidor de pesquisa Elástica desconfigurado. E, um servidor de pesquisa elástica de propriedade do Mailfire, que afeta 70 sites de namoro e comércio eletrônico, foi encontrado vazando PII e detalhes como preferências românticas. Além disso, o braço de Gales do Serviço Nacional de Saúde do Reino Unido anunciou que o PII para residentes galeses que tinham testado positivo para COVID-19 foi exposto através de um upload público em nuvem.

FONTE: THREATPOST

POSTS RELACIONADOS