A cooperativa de saúde Unimed enfrenta mais uma questão de segurança de dados de seus pacientes devido a uma falha em endpoints de uma de suas unidades em Porto Alegre (RS). A consequência dessa falha foi a exposição de dados sensíveis de um número ainda indeterminado de pacientes, incluindo informações como nome completo, email, telefone, número IP, CPF, histórico de exames, histórico de consultas, medicações e materiais utilizados.
A situação foi trazida à tona por um pesquisador de segurança conhecido como Xploit, que conseguiu coletar informações de cerca de 500 nomes (de um total de mil que ele havia reunido até então). O pesquisador afirma que tentou entrar em contato com a Unimed para relatar a vulnerabilidade, mas não obteve resposta.
Xploit relatou que, em sua investigação, também descobriu que era possível acessar os resultados de exames de pacientes sem qualquer autenticação, o que tornava a situação ainda mais preocupante.
Falha descoberta
A falha foi descoberta quando Xploit inseriu seu próprio CPF e ID de usuário em um formulário da Unimed e percebeu que os dados cadastrais retornaram sem qualquer autenticação. Ele observou que muitos dos endpoints da Unimed exigiam apenas o CPF ou o ID do usuário para realizar ações, o que agravava a questão da segurança dos dados.
O site TecMundo, ao tomar conhecimento do ocorrido, buscou um posicionamento da Unimed sobre o incidente. A Unimed Porto Alegre declarou que possui um plano de resposta a incidentes e remediação, bem como uma equipe específica para tratar de incidentes de segurança da informação.
A instituição afirmou que, tão logo teve conhecimento da suposta fragilidade em seus sistemas, iniciou uma investigação para coletar informações sobre o incidente e adotar medidas apropriadas. Até o momento, não foi constatado um incidente que tenha causado danos a titulares de dados pessoais, de acordo com a Unimed.
Outras invasões
A cooperativa de saúde também informou que continuará trabalhando em melhorias em seus controles de segurança e que qualquer incidente relevante envolvendo dados pessoais será comunicado à Autoridade Nacional de Proteção de Dados (ANPD).
Vale ressaltar que essa não é a primeira vez que a Unimed enfrenta problemas relacionados à segurança cibernética. Em outubro de 2022, a Unimed Belém enfrentou um possível ataque de ransomware que resultou em instabilidades em seu sistema.
Na ocasião, os criminosos responsáveis pelo ataque publicaram informações roubadas durante o incidente na dark web, gerando preocupações adicionais sobre a segurança dos dados dos pacientes. A empresa havia afirmado na época que não tinha conhecimento da extensão do ocorrido.