Em plena crise causada pelo novo coronavírus (SARS-CoV2), a The Hack apurou, com exclusividade, que uma clínica médica tradicional da cidade de Cascavel (PR) deixou vazar mais de 2,3 mil laudos de pacientes, incluindo arquivos PDF com resultados de exames de endoscopia e colonoscopia. A investigação partiu de uma denúncia enviada por Giovanni Zadinello, pesquisador de segurança, que percebeu que a instituição havia se esquecido de proteger um diretório de seu servidor web.
A clínica em questão, batizada como Gastroclínica Cascavel, iniciou suas atividades em 1989 e é especializada em prestar serviços na área de gastroenterologia e coloproctologia; ou seja, doenças que afetem o sistema digestivo em geral, incluindo diagnósticos e cirurgias. Não era necessário ter conhecimentos técnicos para explorar a brecha: a URL que continha os documentos sensíveis poderia ser acessada por qualquer internauta a partir de um botão na página “Fale Conosco”.
Além dos laudos médicos em si (compostos por imagens e nome completo dos pacientes, além de suas datas de nascimento), o diretório exposto também incluía backups do código fonte do próprio sistema da Gastroclínica Cascavel e os dados de conexão do email de administrador da plataforma.
Um mundo de possibilidades
“Com essas informações, um atacante poderia fazer muitas coisas, incluindo um disparo de emails para todos os pacientes usando o email do administrador que está localizado no arquivo email.php, uma criptografia de todos os arquivos usando ransomware para pedir resgate, um clone do sistema, uma coletânea de informações de pacientes, um phishing com engenharia social e assim por diante”, explica Giovanni, que tentou alertar a companhia sobre tais perigos, mas sem sucesso.
Vale a pena lembrar que, além da exposição de dados pessoais, tal incidente viola o sigilo médico, consenso presente no Código de Ética Médica mantido pelo Conselho Federal de Medicina (CFM). De acordo com a Resolução CFM nº 999/80 de 23 de maio de 1980, “o crime de revelação de sigilo médico ocorre quando o médico revela segredo profissional sem justa causa ou dever legal, não sendo obrigado a fazê-lo e até lhe sendo proibido depor sobre fatos relacionados ao atendimento de seus pacientes”.
A The Hack telefonou diversas vezes e enviou uma série de emails à Gastroclínica Cascavel, mas não obteve uma resposta oficial da clínica até o fechamento da reportagem. O diretório vulnerável, porém, já havia sido retirado do ar.
- Leia mais notícias sobre Vazamentos.