Plano de saúde deixa vazar dados de 6,4 milhões de clientes

269

Boletos com nome completo, endereço e CPF de clientes podiam ser acessados apenas modificando aleatoriamente os números de contrato

Uma denúncia fala sobre um vazamento de dados do grupo empresarial de planos de saúde Hapvida. A brecha expôs dados como nome completo, endereço físico e CPF de, aproximadamente, quase 6,4 milhões clientes da companhia.

Segundo o ‘Brazil Safe’, grupo de desenvolvedores influenciados pela ética hacker (hackers white hat), trata-se de uma falha de segurança que não exige conhecimentos avançados em programação. Para ter acesso à brecha, é necessário que o usuário possua apenas uma conta no site da empresa de plano de saúde. Após adentrar o sistema da Hapvida, é possível obter acesso aos inúmeros números de diferentes contratos modificando números aleatoriamente do código HTML da página (acessado facilmente pelo menu ‘inspecionar elemento’ de qualquer navegador). A fonte afirma que a falta de criptografia dos dados facilita a edição, algo que poderia ser evitado se a companhia utilizasse tokens, o que ofereceria mais segurança aos clientes. Após a etapa de troca de perfis, ainda era possível gerar boletos, que traziam nome completo, CPF e endereço físico completo.

À primeira vista, os dados expostos parecem não causar estragos maiores ao usuário, entretanto, o grupo alerta que há perigo caso a brecha seja explorada por algum invasor mal-intencionado, que pode se utilizar de engenharia social, emissões de boletos falsos às vítimas além da venda de dados, prática comum tanto na internet quanto na chamada deep web.

A ‘Brazil Safe’ também informou que, após a descoberta da falha, tão logo notificou a empresa por meio de formulário no site oficial bem como por mensagens enviadas aos funcionários da Hapvida na rede social LinkedIn. Entretanto, apesar do esforço do grupo, não obteve retorno em nenhum dos canais.

Felizmente, a brecha parece não estar mais disponível, segundo a fonte da denúncia, que realizou a checagem ainda na sexta-feira, 3.

O grupo de planos de saúde Hapvida, se posicionou:

A empresa investe constantemente na segurança do seu sistema e na proteção dos dados dos seus beneficiários. Diante da denúncia, o Grupo está investigando e avaliando a veracidade do caso.

Confrontar os riscos de segurança cibernética é uma luta diária das companhias e governos do mundo inteiro. A Companhia aplica as melhores ferramentas e práticas de mercado para proteger os dados de seus colaboradores, clientes e fornecedores.

Fonte: Olhar Digital

COMPARTILHAR