.jpg?w=730)
Tamanho e gravidade do vazamento tem duas versões. Foto: Deposit Photos.
A equipe de pesquisa da Cybernews, plataforma de mídia independente focada em cibersegurança, descobriu uma instância desprotegida no Kafka, plataforma de streaming distribuído de código aberto utilizado pela Unimed do Brasil.
Segundo o site global, a falha expunha conversas de clientes com o chatbot Sara e com os seus médicos. Os pesquisadores conseguiram interceptar mais de 140 mil mensagens, mas estimam que pelo menos 14 milhões podem ter sido enviadas de forma insegura.
Os dados incluiriam fotos enviadas, documentos enviados, mensagens enviadas, nomes, números de telefone, endereços de e-mail e números de cartão Unimed.
De acordo com a equipe, os invasores podem explorar os detalhes vazados para discriminação e crimes de ódio direcionados, bem como crimes cibernéticos mais comuns, como roubo de identidade, fraude médica e financeira, phishing e golpes.
"O vazamento é muito sensível, pois expôs informações médicas confidenciais”, disseram os pesquisadores.
Conforme o site, o vazamento foi descoberto no dia 24 de março deste ano, os pesquisadores notificaram a empresa no dia 31 de março e o vazamento foi encerrado em 7 de abril.
Em nota, a Unimed do Brasil afirmou se tratar de um "incidente isolado" que foi prontamente resolvido e negou que dados sensíveis tenham sido vazados.
"Não há evidências, até o momento, de vazamento de dados sensíveis de clientes, médicos cooperados ou profissionais de saúde. Uma investigação aprofundada continua em andamento", disse a empresa.
De acordo com a companhia, a ferramenta em questão é uma integração entre o aplicativo móvel e o serviço de chat utilizado por três cooperativas, exclusivamente para comunicação entre beneficiário e operadora, com interações limitadas à pesquisa de rede credenciada e solicitações istrativas.
O chat, segundo a organização, não possui qualquer serviço assistencial nem permite a troca direta entre médicos e pacientes.
“O Sistema Unimed é formado por 340 cooperativas médicas e empresas independentes. Dessa forma, essa ocorrência isolada não se reflete no Sistema. O ambiente envolvido não é um repositório de dados, tampouco mantém o histórico das interações e não tem capacidade para ar o volume de mensagens alegado na divulgação”, garantiu a Unimed do Brasil.
Luana Rosales 412i57
Repórter no Baguete Diário