Explorando uma falha do Remote Desktop Protocol (RDP) para acesso ao Terminal Service do Windows, um cracker identificado como “thedarkoverlord” está publicando um anúncio na Deep Web, na página TheRealDeal Market, uma lista com cerca de 10 milhões de cadastros de pacientes de diversas operadoras de seguro saúde. Nesses cadastros constam nomes, endereços, datas de nascimento e número de Seguro Social, que seria algo similar ao nosso CPF, ou seja, um conjunto de informações que certamente podem ser utilizadas para fraudes e outros crimes financeiros.
O criminoso dividiu a base em diferentes pacotes, que podem chegar até a US$ 400.000 e segundo cita a reportagem do site Computer World, ele já teria lucrado US$ 100.000 com a venda de cópias dos dados.
Recentemente, uma reportagem da Folha de São Paulo denunciava o acesso sem controle de dados de pacientes do SUS e de servidores municipais da cidade de São Paulo, disponíveis na internet devido uma falha de configuração nos servidores. Dados médicos com o detalhamento de diversas consultas e dados cadastrais como nome completo, CPF, endereço e telefones de contato de cerca de 650 mil pessoas disponíveis em planilhas e até o momento não se sabe quem teve acesso a todas essas informações, uma vez que todo o conteúdo estava aberto para consulta.
Isso é apenas parte do descaso com que alguns gestores de organizações públicas e privadas tratam as áreas de Tecnologia da empresa, muitas vezes por não ser o foco do negócio, porém está cada vez mais óbvio a dependência da área e dos profissionais de TI e se estes não possuírem os recursos necessários para o desenvolvimento de suas atividades, cada vez mais teremos incidentes como estes.
Na área da Saúde, a ANS (Agência Nacional de Saúde Suplementar) já possui uma série de diretrizes que recomendam a adoção de controles que elevam o grau de proteção de informações de prontuários médicos e da infraestrutura de hospitais e clinicas, porém, como acontecem em muitas situações, estes controles não são devidamente auditados, transformando as recomendações em um mera formalidade preenchida no papel.
Fontes consultadas: Setor Saúde / Motherboard
Imagens: Deep.Doot.Web
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
