São Paulo — InkDesign News — O Ohio Medical Alliance revelou uma vulnerabilidade crítica em sua base de dados, expondo informações sensíveis de quase um milhão de pacientes. A falha, descoberta por Jeremiah Fowler, envolveu registros que continham dados pessoais sem segurança adequada, incluindo números de Segurança Social (SSNs) e informações médicas confidenciais.
Incidente e vulnerabilidade
O incidente ocorreu devido à existência de duas bases de dados mal configuradas e desprotegidas, que foram deixadas abertas sem criptografia ou proteção por senha. Fowler, um pesquisador de segurança cibernética, encontrou 957.434 registros armazenados em 323 GB de dados, detalhando informações como nomes, datas de nascimento, endereços residenciais e imagens de carteiras de motorista. Muitas dessas informações estavam organizadas em pastas com os nomes dos pacientes, o que facilitou o acesso indevido.
A proteção inadequada de bases de dados sensíveis é um vetor de ataque crítico que pode levar a compromissos sérios de privacidade.
(“Poorly protected sensitive databases are a critical attack vector that can lead to serious privacy breaches.”)— Jeremiah Fowler, Pesquisador de Segurança
Impacto e resposta
O impacto deste vazamento é significativo e potencialmente devastador. A exposição de SSNs e informações médicas pode resultar em roubos de identidade e fraudes financeiras. Além disso, os registros de avaliações psiquiátricas podem sujeitar os pacientes a discriminação ou assédio, especialmente considerando a natureza sensível de condições como Transtorno de Estresse Pós-Traumático (PTSD) e ansiedade. Após a notificação do incidente, o acesso público aos dados foi restrito, mas a falta de resposta direta à divulgação de Fowler levanta preocupações sobre a gestão dos dados e a duração da exposição.
Ao expor informações de saúde mental, os pacientes podem ser alvo de discriminação e problemas pessoais graves.
(“By exposing mental health information, patients may become targets of discrimination and serious personal issues.”)— Jeremiah Fowler, Pesquisador de Segurança
Mitigações recomendadas
Para mitigar riscos similares no futuro, recomenda-se a implementação de políticas rigorosas de proteção de dados. Isso inclui a adoção de criptografia para dados em repouso e em trânsito, além de exigir autenticação de múltiplos fatores para acesso a sistemas críticos. A realização de auditorias regulares de segurança nas bases de dados pode ajudar a identificar e corrigir vulnerabilidades antes que sejam exploradas. Além disso, a capacitação contínua dos funcionários em práticas de segurança cibernética é essencial para prevenir erros humanos que podem levar a exposições de dados.
Os riscos residuais deste incidente indicam a necessidade de um foco renovado em práticas de segurança, especialmente em setores que lidam com informações extremamente sensíveis e pessoais. Uma resposta proativa e educacional é crucial para proteger a integridade dos dados dos pacientes. A continuidade da vigilância e a entrega de patches de segurança devem ser priorizadas para garantir a segurança futura dos sistemas.
Fonte: (Hack Read – Segurança Cibernética)
