Duas grandes empresas de saúde do país anunciaram nesta semana que sofreram ataques cibernéticos em seus sistemas de tecnologia: a operadora do plano de saúde Hapvida e o Hospital Sírio-Libanês. Embora a operadora tenha dito que o ataque obteve acesso a dados de registro como CPFs, nomes completos e endereços de alguns clientes, o hospital disse que os sistemas de segurança protegiam as informações.

Conhecido nacionalmente por tratar a saúde de políticos e personalidades brasileiras, o Hospital Sírio-Libanês disse que o ataque ocorreu nas primeiras horas desta segunda-feira (6). O site e o aplicativo da instituição ficaram inativos por horas após o ataque.

Enquanto isso, Hapvida alegou ter sido vítima de um “incidente de estupro cibernético” que envolveu o acesso às informações de registro de seus clientes. Além disso, ele disse que, após uma avaliação preliminar, concluiu que os atacantes não haviam acessado os registros médicos ou informações financeiras de seus clientes.

No início de abril, o organização policial internacional Interpol disse que detectou um aumento significativo no número de tentativas de ataque de ransomware [sequestro de dados] contra hospitais e serviços médicos. Os casos desta semana poderiam ser algum tipo de estratégia coordenada contra empresas e instituições de saúde no Brasil?

Dados atuais, uma mina de ouro

Segundo Hiago Kin, presidente da Abraseci (Associação Brasileira de Cibersegurança), os hospitais são o segundo alvo mais atacado por cibercriminosos, atrás dos bancos. O motivo, segundo ele, é que os hospitais têm um banco de dados constantemente atualizado de pacientes.

O especialista ressalta que não há movimentos específicos de ataques contra hospitais. Mas, com o grande fluxo de pacientes e as novas informações advindas da pandemia, o sistema expõe suas fraquezas.

“Atacar um hospital é muito vantajoso porque os dados são precisos. Eles devem estar corretos porque vidas podem ser perdidas, os danos são muito grandes. Um hospital precisa ter os dados de saúde, os medicamentos que toma e os dados de pagamento. Isso é o ponto principal “, explica ele.

Para Kin, na crise hospitalar, os hospitais têm mais dificuldades na infraestrutura geral de segurança e tecnologia. Isso acaba facilitando o trabalho de criminosos cibernéticos, que atacam hospitais ou outras empresas de maneira massiva. “E então o sistema, que é mais vulnerável, cai nessa armadilha”, acrescenta.

O ataque maciço ocorre quando hackers colocam vários computadores acessando uma lista de endereços IP [protocolos de internet, um tipo de endereço de internet numérico] empresas. Quando eles veem configurações de segurança com violações desatualizadas, eles acionam muitos acessos simultâneos e conseguem invadir. Esse é o tipo de ataque cibernético mais comum hoje em dia e atinge 98% dos casos, de acordo com o Abraseci.

Chantagem online

Fabio Assolini, analista de segurança sênior da Kaspersky no Brasil, concorda que não há movimento de ataque direcionado a empresas de assistência médica, mas grandes empresas com um grande banco de dados. E, segundo ele, o objetivo dos hackers é “chantagear” as empresas após a obtenção dos dados.

Para o analista, algumas empresas já se prepararam para ataques como o ransomware, preparando antecipadamente um sistema para fazer backup de informações que poderiam ser invadidas.

Como eles não podem restringir o acesso aos dados, os hackers oferecem duas opções após o ataque, que Fabio chama de ataque Double Ransom: os arquivos da empresa serão criptografados (com dados criptografados); se você quiser acessar novamente, precisará pagamento; ou roubam a maioria dos dados corporativos e, se a empresa não pagar, dizem que a tornarão pública. “Isso é ruim para a reputação das empresas”, diz ele.

Ataque ou fracasso?

O grupo de pesquisadores de segurança independentes Brazil Safe enviou uma declaração à Tilt com uma versão diferente do caso Hapvida: que o problema era uma “vulnerabilidade de gravidade máxima” no site da empresa. De acordo com uma demonstração em vídeo do grupo, a suposta falha no portal Hapvida permitiu a qualquer usuário com uma conta no site acessar os dados dos aproximadamente 6 milhões de clientes da operadora.

Para reproduzir a falha, após fazer login no site da Hapvida, o usuário deve acessar o serviço de consulta de cobrança. Em seguida, foi necessário navegar para a tela “Seleção de contratos” e ativar o modo “Inspecionar” do navegador da Internet. Com os códigos abertos no lado direito da tela, o cliente pôde visualizar o item “entrada” e modificar o número de contratos. Portanto, seria possível visualizar boletos com dados pessoais de outros clientes.

Embora pareça difícil concordar com o número de um contrato de terceiros, o Brazil Safe diz que um agente criminal, “usando robôs e vários servidores para atacar essa violação, consegue obter a base de clientes completa em poucos dias”.

Segundo Emílio Simoni, diretor do laboratório de segurança digital do Dfndr Lab, a falha pode ter ocorrido. Mas ele ressalta que não seria tão simples obter os dados de inúmeros clientes devido à proteção dos sites.

“Existe um firewall [um tipo de muro virtual contra invasões], que consegue rastrear essa tentativa de força bruta. Na prática, é impossível saber se milhões de dados podem ser baixados, pois quando o grupo de trabalho é executado em massa, esse firewall bloqueia o sistema. Mas ainda é um fracasso “, diz ele.

O grupo de desenvolvedores Brazil Safe afirma que tenta entrar em contato com a Hapvida por meio do canal de denúncias e por e-mail desde 18 de junho para relatar o problema, mas não recebeu resposta da empresa.

Questionado por InclinaçãoA Hapvida afirmou que “investe constantemente na segurança de seu sistema e na proteção dos dados de seus beneficiários. Diante da denúncia, o grupo está investigando e avaliando a veracidade do caso”.

As consequências

Um dos possíveis problemas de tais vazamentos é que, com os dados disponíveis, os cibercriminosos podem gerar faturas falsas de cobrança. Portanto, é necessário que os clientes da operadora prestem atenção à correspondência, principalmente aos recibos de pagamento.

“Quando você for pagar um ingresso, o banco mostrará vários detalhes. Esteja ciente de que o banco do ingresso é o que você está acostumado, se o valor é o mesmo, enfim, se as informações coincidem. Qualquer dúvida, ligue para a empresa e confirme o número do bilhete com eles “, guia.

Em sua conta oficial no Twitter, o próprio operador, em 30 de junho, diz que “não trabalha com intermediários” para lidar com dívidas pendentes. “Se você é nosso cliente e tem contas abertas, procure a Hapvida diretamente, através de nossos canais oficiais”, diz a publicação.

Além disso, os criminosos cibernéticos podem tentar outros golpes, como a clonagem do WhatsApp. O usuário pode receber uma ligação de alguém que se apresenta como operador ou banco e solicitar confirmação dos dados. Em seguida, ele dirá que enviará um código de segurança para confirmação, que será realmente usado para invadir sua conta do messenger.

“Temos um grande ramo de ataques possíveis quando essas pessoas de má fé têm dados de usuários, especialmente quando consideramos a criatividade do cibercriminoso brasileiro”, conclui Simoni.