Criminosos cobram resgate para não divulgar dados de pacientes de saúde mental

Views: 442
0 0
Read Time:3 Minute, 48 Second

Por Felipe Demartini

Uma brecha de segurança em uma das maiores clínicas de saúde mental da Finlândia levou a milhares de pacientes sendo extorquidos pelos criminosos no segundo semestre de 2020. O caso envolveu a Vastaamo, rede de clínicas com dezenas de unidades espalhadas pelo país europeu, que viu as informações pessoais e, no mais grave, também de tratamento, vazando quando os bandidos obtiveram acesso aos bancos de dados da empresa por um período de quase seis meses, entre novembro de 2018 e março de 2019.

Apesar das datas, todo o histórico dos pacientes que passaram pela instituição desde 2008, quando ela foi fundada, estaria disponível no banco de dados, que não contava com as devidas proteções de segurança e tinha senhas de acesso inseguras. A própria Vastaamo chegou a ser extorquida, com os bandidos exigindo um valor de 40 Bitcoins, à época equivalente a cerca de US$ 520 mil.

Quando a rede não efetuou o pagamento, os criminosos se voltaram aos pacientes, além de prometerem vazar 100 registros médicos por dia até que o resgate fosse pago. Entre as primeiras exposições estavam figuras públicas, políticos e até celebridades que buscaram tratamento na Vastraamo, mostrando que os criminosos haviam analisado as informações que possuíam e estavam prontos para a guerra.

Os bandidos tinham acesso ao histórico médico dos pacientes e até mesmo às anotações de psiquiatras e médicos, incluindo relatos feitos de forma confidencial durante sessões de terapia, que revelavam segredos e detalhes sobre relacionamentos afetivos ou familiares. Os dados serviam, basicamente, como uma devassa sobre a intimidade de cerca de 30 mil pessoas, que eram extorquidos em € 200, ou cerca de R$ 1.300, que deveriam ser pagos em 24 horas. Caso contrário, o total aumentava para € 500, cerca de R$ 3.200, a serem pagos em dois dias — por fim, as informações seriam não apenas publicadas na internet, mas também enviadas, justamente, às pessoas citadas pelos indivíduos em seus relatos.

A revista americana Wired explorou algumas destas histórias pessoais, como a do estudante Jere, que passou pela Vastaamo durante sua adolescência para lidar com questões relacionadas ao abuso de drogas, álcool e as relações complexas com sua mãe. O ataque, como aponta o relato dele, foi feito de forma direcionada, já que ele e também seus familiares receberam a mesma oferta de extorsão, caso contrário, todos os segredos de seu tratamento — incluindo relatos de abuso, confissões e anotações sobre seu estado mental à época — seriam abertos aos envolvidos e ao público.

Histórico de problemas

Após investigação, as autoridades finlandesas concluíram que a Vastaamo foi responsável pelo incidente, por não possuir práticas adequadas de segurança digital. Os históricos dos pacientes, por exemplo, não estavam criptografados, enquanto terminais e sistemas de acesso remoto compartilhavam senhas fáceis de serem descobertas. Não era como, entretanto, se esse fosse a primeira ocasião em que comportamentos irregulares eram identificados.

Entre as denúncias já realizadas contra a rede estavam o uso de anúncios no Google, direcionados a pacientes de instituições rivais, e o uso de aplicativos e compartilhamento de dados pelos usuários de forma a acelerar os atendimentos iniciais. Ville Tapio, o fundador da Vastaamo ao lado de seus pais e CEO à época do incidente, nunca negou sua abordagem voltada ao aspecto de negócios por trás das unidades, mas aponta que a instituição sempre trabalhou pelo bem-estar social.

A reportagem da Wired também aponta sérios problemas técnicos nas soluções usadas pela cadeia, com sistemas desenvolvidos internamente e de forma acelerada para acompanhar o ritmo de crescimento da empresa. O foco, novamente, estava na facilidade de uso, mas com ela, também vieram os problemas de segurança e até mesmo o descumprimento de legislações relacionadas à privacidade e ao tratamento de dados hospitalares que levaram ao vazamento em massa das informações.

Apesar dos problemas, a Vastaamo não interrompeu os atendimentos durante o incidente, enquanto entrava em contato com os pacientes atingidos oferecendo informações e aconselhamento gratuito. O caso, hoje, é assunto de projetos de lei que tornam ainda mais pesadas as multas e sanções para casos de violação de privacidade e vazamento de dados devido à imprudência das companhias, enquanto investigações federais ainda estão em andamento para localizar o responsável, ou o grupo, por trás do vazamento.

Para as vítimas, resta apenas o temor enquanto o banco de dados completo da rede de clínicas permanece circulando pela internet, em fóruns de cibercrime e sistemas de compartilhamento. Não se sabe, também, quantas pagaram o resgate solicitado pelos bandidos e o total de pessoas que foram atacadas diretamente por eles.

FONTE: CANALTECH

POSTS RELACIONADOS