São Paulo — InkDesign News — A recente exposição de dados pessoais e de saúde de aproximadamente 500.000 pacientes vinculados à Catholic Health, uma organização sem fins lucrativos de saúde em Nova York, ocorreu devido a uma vulnerabilidade em um banco de dados Elasticsearch mal configurado, acessível publicamente entre 19 de setembro e 5 de novembro de 2024.
Incidente e vulnerabilidade
O incidente envolveu um banco de dados Elasticsearch que, devido à configuração inadequada, foi exposto a qualquer pessoa na internet. A vulnerabilidade não foi identificada até que um exame detalhado fosse realizado em 15 de novembro de 2024, revelando a exposição de informações sensíveis. Apesar de não haver evidências confirmadas de que os dados tenham sido baixados ou utilizados de forma inadequada, a possibilidade não pode ser descartada.
Impacto e resposta
Os dados expostos incluem informações críticas como nomes completos, datas de nascimento, dados de receitas, números de Seguro Social, detalhes de seguro de saúde, informações sobre prestadores de serviços de saúde, e números de registros médicos e contas. A Serviceaide está enviando notificações aos indivíduos afetados, dependendo do acesso que possui a endereços de correspondência válidos. Segundo a empresa, foram adotadas medidas de contenção e novos protocolos de segurança foram implementados para evitar crises futuras.
“O volume de dados de saúde e pessoais expostos nesse incidente aponta para um problema maior no setor. Violações como esta geralmente levam anos para serem totalmente avaliadas, especialmente diante de regulamentos em evolução e na dificuldade de rastrear como os dados podem ser utilizados adiante.
(“The sheer volume of healthcare and personal data exposed in this incident points to a larger problem across the sector. Breaches like this often take years to fully assess, especially with evolving regulations and the difficulty in tracing how data might be used down the line.”)— Darren Guccione, CEO, Keeper Security
Mitigações recomendadas
A Serviceaide aconselha que os pacientes afetados monitorem seus relatórios de crédito, alterem as senhas de contas médicas e considerem o congelamento do crédito. Recomenda-se o acesso a relatórios de crédito gratuitos pelo site AnnualCreditReport.com ou pelo telefone 1-877-322-8228. A empresa também está colaborando com reguladores federais, incluindo o Departamento de Saúde e Serviços Humanos, que listou a violação publicamente no seu portal de violações do Escritório dos Direitos Civis.
Este incidente ressalta um desafio contínuo na segurança de TI em saúde, revelando como erros na configuração podem expor pacientes a riscos a longo prazo. É crucial que tanto provedores de saúde quanto prestadores de serviços externos ensurem a segurança rigorosa de suas infraestruturas digitais.
Fonte: (Hack Read – Segurança Cibernética)
