Falha na Unimed expõe exames de pacientes e dados internos

O portal Olhar Digital publicou nesta quinta-feira (14) uma denúncia do grupo WhiteHat Brasil sobre falhas graves de segurança na Unimed que permitem acesso completo ao banco de dados da empresa.

Segundo a publicação, as falhas atingem unidades da Unimed em todo o Brasil. Isso implica que fichas cadastrais completas de pacientas podem estar expostas com dados como:

• Nome completo;
• CPF;
• Nome da mãe;
• Código beneficiário;
• E-mail;
• Dados de dependentes.

Não somente, mas também dados sensíveis como exames de pacientes, certidões de óbito e imagens de raio-x podem ser acessados.

A denúncia do WhiteHat Brasil ainda inclui que acessos a logins médicos, e-mails internos, imagens de problemas internos de centros de saúde e planilhas financeiras estão vulneráveis.

Segundo o grupo, qualquer um que tenha acesso ao banco de dados pode alterar os dados, com a possibilidade de incluir ou excluir informações de documentos.

Seria possível, por exemplo, enviar um e-mail a um paciente se passando por um médico, incluindo até mesmo a assinatura do profissional interno.

Não foi estimado o número de pacientes afetados. A falha foi explorada pelo grupo por cerca de um mês. Foram constatadas brechas em unidades nas cidades de Teresina e Parnaíba (PI), Imperatriz (MA), São Leopoldo (RS) e outras.

A Unimed tem presença em 84% do Brasil, mais de 18 milhões de beneficiários e 115 mil médicos cooperados.

Sobre o caso, a Unimed do Brasil enviou a seguinte nota ao IT Forum 365:

“A Unimed do Brasil, representante institucional do Sistema Unimed, informa que investe continuamente em tecnologias que garantam a segurança das suas operações e a proteção dos dados pelos quais é responsável. Em todo o Sistema Unimed, a área de tecnologia tem recebido atenção especial, adotando medidas e procedimentos técnicos que visam à proteção dos dados e à privacidade de seus beneficiários.

A Unimed reforça seu compromisso em zelar pela segurança das informações e pelo sigilo dos dados de quem se relaciona com a marca. Prezando pela privacidade de seus beneficiários, compromete-se a investigar de forma minuciosa qualquer suspeita de vazamentos ou ataques cibernéticos.

É importante ressaltar que, de acordo com a legislação cooperativista, cada Unimed possui autonomia em sua administração, inclusive com utilização de sistemas de gestão distintos. Sendo assim, não há necessariamente reflexos da situação de uma cooperativa nas outras que compõem o sistema.”

Fonte: Olhar Digital.

*Atualizado em 14/11/2019, às 13:54, com o posicionamento da Unimed do Brasil.