O que os agentes maliciosos podem fazer com os dados obtidos com a exposição de dados de pacientes da COVID-19

Views: 479
0 0
Read Time:3 Minute, 9 Second

Informações pessoais e confidenciais de pacientes com diagnóstico ou suspeita de coronavírus foram expostas publicamente por quase um mês

Informações pessoais de, pelo menos, 16 milhões de brasileiros com diagnóstico positivo ou suspeito de COVID-19 foram expostas na internet por cerca de um mês. A ESET explica o ocorrido e mostra o que agentes maliciosos podem fazer com os dados obtidos.

O vazamento ocorreu depois que um funcionário do Hospital Albert Einstein, de São Paulo, carregou no GitHub, uma plataforma de hospedagem de códigos-fonte, um documento contendo nomes de usuários e senhas para acessar um banco de dados de pessoas que foram testadas, diagnosticadas e em, alguns casos, hospitalizadas por coronavírus, e que faz parte de um projeto com o Ministério da Saúde (do qual o hospital faz parte) denominado PROADI-SUS, que tem como objetivo fazer análises preditivas sobre a pandemia.

Aqueles que possuíam essas credenciais puderam acessar dois bancos de dados federais, E-SUS-VE e Sivep-Influenza, que contêm registros de pessoas suspeitas, diagnosticadas ou hospitalizadas por COVID-19. Além de informações confidenciais e sigilosas das pessoas, como nomes, CPF e endereços, esses bancos de dados continham detalhes do histórico médico das pessoas, como problemas de saúde ou diagnósticos anteriores.

As credenciais permitiam acesso a informações sigilosas, entre as quais estavam pacientes como o presidente do Brasil, Jair Bolsonaro, além de outros membros do governo que haviam confirmado publicamente seu diagnóstico ou suspeita dele.

Conforme o funcionário do hospital explicou à mídia, o motivo pelo qual ele carregou esse modelo no GitHub foi para realizar um teste de implementação, mas ele se esqueceu de excluir o documento do repositório.

Em nota divulgada pelo hospital, a instituição afirma ter tomado conhecimento do que aconteceu quando “um colaborador contratado para prestar serviços ao Ministério da Saúde arquivou informações de acesso a determinados sistemas sem proteção adequada”. Da mesma forma, a nota garante que a informação foi retirada imediatamente e que o ocorrido foi comunicado ao Ministério da Saúde para que as medidas correspondentes pudessem ser tomadas para garantir a proteção da informação.

Por sua vez, em nota do ministério, a instituição garante que, embora as credenciais vazadas não permitam o acesso direto às informações pessoais e que outros fatores técnicos sejam necessários para se chegar aos dados, está monitorando a web antes da possibilidade que as informações expostas podem ser replicadas em algum lugar.

O que um agente malicioso pode fazer com as informações vazadas?

Infelizmente, muitas vezes há casos conhecidos de exposição de dados devido a configurações incorretas ou como resultado de acesso impróprio a um sistema. Publicamos este mês sobre a exposição de dados confidenciais de milhões de hóspedes de hotéis em todo o mundo, devido a um erro de configuração de um servidor em nuvem.

“Além de conscientizar sobre a importância de revisar as configurações de segurança e a privacidade das informações mantidas pelas organizações – e também pelos usuários em suas contas -, é importante conhecer as consequências após vazamentos, como ataques de phishing ou outro tipo de ataque de engenharia social que faz uso dessas informações” comentou Daniel Barbosa, especialista em Segurança da Informação da ESET.

Como mencionado acima, geralmente o que é acontece é que agentes mal-intencionados postam informações confidenciais do usuário em sites obscuros que eles compartilham ou trocam por outros agentes maliciosos para executar campanhas para roubar mais informações ou comprometer os usuários com malware. Portanto, para aqueles que podem ter feito parte dessas mais de 16 milhões de pessoas que estiveram envolvidas nesta exposição massiva de informações, recomendamos que estejam atentos para possíveis e-mails de phishing que se passam por uma empresa ou organização e que incluem informações pessoais para fazer com que acreditem que são e-mails legítimos.

FONTE: IP NEWS

POSTS RELACIONADOS