Read, hack, repeat

Denúncia | Clínica médica do ES expõe exames médicos por IDOR e SQLi

Ramon de Souza

A The Hack inaugura, nesta terça-feira (19), o novo quadro Denúncia do Leitor, que tem como objetivo publicar descobertas de nossos leitores a respeito de vazamentos de dados e vulnerabilidades em sistemas, aplicativos e softwares. Para esta estreia, o alerta fica para os clientes da MAIS Medicina Diagnóstica, clínica médica especializada em exames de imagem e que localiza-se na cidade de Vitória, no Espírito Santo.

  • Também tem uma denúncia a fazer para a The Hack? Escreva para hello@thehack.com.br. O sigilo de sua identidade é garantido.

De acordo com uma fonte que preferiu não se identificar, o sistema utilizado pela empresa para armazenar e fornecer os resultados digitalizados dos exames aos seus pacientes não exige autenticação — apenas o site “primário” da clínica pede login com senha. Isto posto, o domínio no qual se encontram os arquivos sensíveis em si pode ser atacado de duas formas para extrair informações sensíveis: exploração de IDOR e injeção de SQL (SQLi).

IDOR, sigla para Insecure Direct Object Reference, é uma falha que ocorre quando um sistema web utiliza um sequenciamento numérico previsível para retornar uma informação ou documento — por exemplo, se você está visualizando sua fatura na URL www.banco.com/fatura?id=121, você possivelmente conseguirá acessar a fatura de outro cliente aleatório ao mudar o identificador e acessar www.banco.com/fatura?id=120.

Já a injeção de SQL se aproveita de falhas na comunicação entre a aplicação web e seu banco de dados através da Structured Query Language (SQL), que é a linguagem usada para ler, atualizar, adicionar e eliminar informações desse database. Um atacante pode usar tal brecha para obter acesso a todo o banco de dados em questão, sendo capaz de apagar registros ou criar uma cópia de todas as informações em seu computador local.

Em ambos os casos, o risco é o mesmo — a exposição indevida de dados médicos, algo que pode gerar sanções e multas à MAIS Medicina Diagnóstica sob os termos da Lei Geral de Proteção de Dados (LGPD). Por mais que tudo indique que o sistema vulnerável é terceirizado, a responsabilidade ainda pode cair sobre a clínica por não ter realizado uma diligência prévia para analisar a segurança de seu fornecedor.

A The Hack entrou em contato com a MAIS Medicina Diagnóstica e está aguardando a resposta da empresa. Caso ela se posicione, atualizaremos este artigo.


Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.