Por Bruno Aghazarm
A Segurança da informação e a Adesão à LGPD, continuam sendo essenciais para a proteção dos dados de uma empresa e de informações sensíveis de seus clientes.
Além de possível vazamento destes dados pessoais as empresas colocam em Risco sua Credibilidade, Lisura, Imagem construída ao longo dos anos, afetando os ativos a ela pertencentes e a seus parceiros e clientes.
A Unimed, teve uma vulnerabilidade em sua Rede, em endpoints de sua subsidiária de Porto Alegre (RS), expondo assim, os dados sensíveis de um número indeterminado de pacientes e eventuais acompanhamentos. Estas informações, possivelmente vazadas, envolvem nome completo, email, telefone, número IP, CPF, histórico de exames, histórico de consultas, medicações e materiais usados.
A instituição “TecMundo” informou que recebeu uma lista com 500 nomes do pesquisador de segurança conhecido por “Xploit”, num total suposto de mais de mil dados. O pesquisador informa que buscou contato com a Unimed, mas não obteve um posicionamento., dizendo ainda que “na última vez que chequei, também era possível obter os resultados de exames de pacientes sem qualquer autenticação”.
Denomina-se “Endpoint” a qualquer dispositivo conectado em uma rede privada ou corporativa que transmitem e recebem dados pessoas ou corporativos.
O TecMundo informou que entrou em contato com a Unimed, que posicionou-se sobre o ocorrido:
“A Unimed Porto Alegre também conta com plano de resposta a incidentes e remediação, além de possuir um time específico de resposta a incidentes de segurança da informação e uma vasta estrutura de tecnologia e segurança da informação apta a incorporar as medidas de proteção, detecção e correção necessárias.
Neste sentido, tão logo teve ciência da imputação de supostas fragilidades nos seus sistemas, a Unimed Porto Alegre instaurou o competente procedimento investigatório para viabilizar a coleta de todas as informações necessárias acerca do evento e adotar as medidas apropriadas para fins de detectar a origem da suposta vulnerabilidade e, caso necessário, conter e controlar eventuais sistemas afetados.
A Unimed Porto Alegre informa que está constantemente trabalhando em melhorias dos controles implementados, e que, até o momento, não foi constatado incidente que possa causar danos à algum titular de dados pessoais.
Os fatos seguirão sendo apurados e qualquer incidente relevante envolvendo dados pessoais será comunicado à ANPD. Estamos também à disposição para esclarecimentos adicionais, por intermédio do nosso Portal de Privacidade.”