0
0
Os cibercriminosos já postaram os detalhes de 300 pacientes da Vastaamo – e estão ameaçando liberar os dados de outros a menos que um resgate seja pago.
Os cibercriminosos invadiram os sistemas da gigante da psicoterapia Vastaamo – e agora estão alcançando pacientes da terapia, ameaçando despejar seus arquivos de pacientes se eles não pagarem um resgate.
A Vastaamo, com sede na Finlândia, que tem mais de 40.000 pacientes de psicoterapia, disse em seu site que seu registro de clientes provavelmente foi comprometido entre o final de novembro de 2018 e março de 2019 (não está claro por que os dados só estão surgindo agora). A violação – e os relatos subsequentes do hacker que entra em contato diretamente com pacientes com ameaças de chantagem – é grave o suficiente para que tenha estimulado uma reunião de emergência no domingo no Gabinete da Finlândia.
“O atacante não tem vergonha”, alertou Mikko Hypponen, diretor de pesquisa da F-Secure, com sede na Finlândia, no Twitter neste fim de semana. “O agressor se chama ‘ransom_man’, e está administrando um site do Tor no qual ele já vazou as notas da sessão do terapeuta de 300 pacientes”, disse ele. “Este é um caso muito triste para as vítimas, algumas das quais são menores de idade.”
Até agora, segundo Vastaamo, foram publicados os nomes e informações de contato desses 300 registros de pacientes. Além de nomes e dados de contato, não está claro quanto outros dados foram comprometidos na violação – como notas privadas de sessões de terapia ou de outra forma. Segundo relatos, os agressores adquiriram os registros de pacientes que haviam se registrado até o final de novembro de 2018.
Piorando as coisas, de acordo com Vastaamo e várias vítimas relatadas falando no Twitter, os cibercriminosos estão agora se aproximando dos pacientes e exigindo um resgate de US$ 240 (200€) deles – o que é um valor aumentado para 500€ se eles não pagarem dentro de 24 horas. Os atacantes também teriam exigido US$ 534.000 (450.000€) em Bitcoin da Vastaamo.
O Threatpost entrou em contato com a Vastaamo sobre a natureza da violação de dados, quais informações foram acessadas e como os dados são armazenados e protegidos. De acordo com o site da empresa, todos os prontuários dos pacientes devem ser mantidos por pelo menos 12 anos após o registro das informações.
“Nossos sistemas de informação foram revisados, são altamente seguros e seu uso é efetivamente monitorado por profissionais de segurança”, segundo a empresa, em um comunicado traduzido em seu site. “Continuaremos a agir. Fazemos o possível para descobrir o que aconteceu e trabalhar com as autoridades para evitar a disseminação de informações confidenciais.”
Jack Mannino, CEO da nVisium, disse ao Threatpost que muitos pequenos e médios prestadores de cuidados médicos e instituições privadas de ensino não têm controles e proteções básicas de segurança — muitas vezes devido à falta de compreensão ou aos recursos para enfrentar esses desafios.
“Infelizmente, essas instituições muitas vezes não têm capacidade interna para realizar monitoramento de segurança e endurecimento contínuo de seus ambientes”, disse ele. “À medida que sua superfície de ataque continua a aumentar, os dados dos pacientes continuarão a ser um alvo entre os prestadores de cuidados de saúde e escolas.”
A empresa também disse que se os clientes foram vítimas de chantagem, recomendam denunciar a ameaça à polícia.
“Lamentamos profundamente o que aconteceu e em nome de nossos clientes que foram comprometidos”, segundo a empresa. “As autoridades e o Escritório de Resposta farão o possível para descobrir o que aconteceu, para evitar a disseminação de informações e levar os autores à justiça.”
A natureza sensível dos dados torna essa violação – e ameaças subsequentes de resgate – particularmente insidiosas.
“Embora todos os vazamentos, especialmente relacionados à saúde de um paciente, sejam sensíveis, esse tipo de dados não é tão simples quanto um caso de pressão alta”, disse Ray Kelly, engenheiro principal de segurança da WhiteHat Security, ao Threatpost. “A capacidade do atacante de divulgar registros psicológicos de um paciente pode ser imensamente prejudicial à reputação de uma pessoa e afetar muitos aspectos, como relacionamentos ou sua carreira. O incentivo para alguém pagar o ator malicioso é muito alto nessa situação.”
Outros vazamentos de dados ocorreram recentemente que expuseram dados confidenciais do usuário. Na semana passada, pesquisadores encontraram um balde de armazenamento Google Cloud não desprotegido de propriedade da gigante farmacêutica Pfizer que expôs dados que incluem transcrições de chamadas telefônicas e informações pessoalmente identificáveis (PII).
E em setembro, um ataque cibernético no Departamento de Assuntos de Veteranos dos EUA (VA) impactou cerca de 46.000 veteranos, expondo suas informações financeiras; e outro incidente no Serviço Nacional de Saúde do Reino Unido expôs informações pessoais para 18.105 cidadãos galeses.
FONTE: THREATPOST