Read, hack, repeat

Exclusivo: empresa deixa vazar 33 mil exames médicos de funcionários da Vale, Prosegur e outras

Ramon de Souza

Um grupo de empresas especializadas em medicina ocupacional deixou vazar quase 33 mil documentos sensíveis de seus clientes, incluindo exames (admissionais, demissionais e periódicos), relatórios e Programas de Controle Médico de Saúde Ocupacional (PCMSOs). Os arquivos estavam armazenados em um servidor desprotegido do serviço Amazon Simple Storage Service (S3), apurou a The Hack, a partir de uma denúncia anônima.

A empresa em questão é a BCcorp, resultado da fusão entre a Biocentro e a Cred MHS. Com atuação significativa em Minas Gerais, a organização conta ainda com várias clínicas parceiras (Empremed, rede CRED, Mundial, Med Empresarial, ESA Consultoria, SMS Consultoria e Climoce). Dentre sua cartela de clientes, destacam-se nomes de peso como Vale, Prosegur, SegurPRO, Ortobom e a MRS Logística.

Por conta da quantia massiva de documentos expostos, a The Hack não foi capaz de analisar o vazamento em sua totalidade. Porém, após dias examinando os arquivos, foi possível perceber que grande parte dos exames são de colaboradores da Prosegur — que, por sua vez, parece ter sido contratada como terceirizada pela Vale para realizar a segurança patrimonial de instalações da maior mineradora do país.

All your medical data belong to us!

Além de dados cadastrais dos funcionários (nome completo, data de nascimento, altura, peso, RG, CPF, número de telefone e cargo), os arquivos analisados pela The Hack revelam particularidades médicas dos trabalhadores. Fomos capazes de encontrar, por exemplo, resultados de eletrocardiogramas, encefalogramas, espirometrias, hemogramas, testes de acuidade visual, chapas de raio-x, testes de glicose e até testes de sífilis.

Em alguns casos, tais laudos médicos revelam características sensíveis da saúde dos funcionários. Um dos empregados analisados, por exemplo, foi observado com “distúrbio ventilatório restritivo leve”; ou seja, um pequeno problema respiratório. Em outro documento, identificamos um paciente com níveis de colesterol gravemente superiores aos valores referenciais comuns para a sua faixa etária.

Alguns questionários revelam ainda o histórico de saúde do paciente — alguns alertaram o médico ocupacional, durante entrevistas admissionais ou periódicos, terem sido internados por doenças diversas ou enfrentado procedimentos cirúrgicos. Analisando tais papéis, descobrimos, por exemplo, o caso de um vigilante patrimonial que havia se submetido a vasectomia e sido internado por uma gripe fortíssima.

Consequências do vazamento

O vazamento, além de ir contra as normas da Lei Geral de Proteção de Dados (LGPD, que entrará em vigor em agosto de 2020), também pode ser considerada uma quebra de sigilo médico, afetando diretamente a intimidade e a privacidade dos funcionários expostos. Procurado pela The Hack, Felipe Palhares, advogado especialista em privacidade, proteção de dados, direito digital e direito societário, afirmou que “esses tipos de vazamentos são gravíssimos".

"Além de permitirem o acesso não-autorizado a dados mais singelos, como a data de nascimento ou cargo do funcionário, também incluem dados pessoais sensíveis, relacionados à saúde do indivíduo, informações que demandam maiores cuidados e a implementação de práticas de segurança da informação mais robustas", explica.

Embora atente ao fato de que a LGPD criará uma legislação específica para pautar pleitos indenizatórios, o advogado ainda observa: "Mesmo hoje esse tipo de situação já pode ser alvo de demandas judiciais de reparação dos danos, em razão da violação ao direito fundamental à intimidade e à vida privada, previstos no artigo 5°, inciso X, da Constituição Federal", finaliza.

Por fim, é importante lembrar que as informações expostas podem ser roubadas por criminosos para aplicar fraudes altamente personalizados ou até mesmo para extorqui-las, uma vez que eles possuem o perfil completo e diversos métodos de contato com as vítimas. Tal caso lembra muito o incidente da Cirurgiões Cardíacos Associados, noticiado pela The Hack no mês de agosto — naquele episódio, uma clínica cardíaca carioca deixou escapar pelo menos 3 mil relatórios pós-cirúrgicos de seus pacientes.

S3 bucket: o problema do ano

Este incidente da BCcorp, de novo, joga luz em um problema que está se tornando muito comum com o crescente uso de infraestruturas em nuvem: a falta da correta configuração em soluções “prontas” oferecidas no mercado. No caso, a equipe de desenvolvimento da companhia (ou alguma prestadora de serviços) resolveu utilizar a plataforma Simple Storage Service (S3), da Amazon Web Services (AWS) para armazenar os documentos.

Contudo, o responsável pelo ambiente “se esqueceu” de configurar o bucket (nome dado pela Amazon para os servidores do serviço) de forma que seu acesso fosse restrito a usuários autenticados. Dessa forma, bastava saber o endereço correto do banco de dados para visualizar a listagem dos arquivos hospedados — não é necessário qualquer conhecimento técnico em informática para explorar esse tipo de brecha.

A equipe técnica da The Hack já abordou esse problema em um artigo dedicado e explicou o que deve ser feito para evitar esse tipo de dor de cabeça; clique aqui para conferir esse conteúdo especial.

O que os envolvidos têm a dizer

Após notificá-la no dia 23 de setembro, a The Hack tentou entrar em contato inúmeras vezes — por telefone e por email — com a BCcorp para tratar do assunto, mas não obtivemos sucesso em conversar com algum executivo do grupo a respeito do vazamento. A Prosegur, por sua vez, se manifestou sobre o ocorrido; confira a nota na íntegra:

"As empresas Biocentro/BCcorp não prestam serviços ao Grupo Prosegur desde setembro de 2018. A companhia não tem conhecimento de qualquer vazamento de informação e está à disposição para colaborar com eventuais esclarecimentos."

Já a Vale, também procurada pela The Hack, explicou que os funcionários citados nos documentos são de fato contratados pela Prosegur. Mesmo assim, a mineradora nos enviou o seguinte posicionamento:

"A Vale não tem conhecimento sobre o vazamento de dados de seus empregados. Estamos em contato com a Prosegur, empresa contratante da Biocentro/BCcorp,  e a própria,  para esclarecer a questão trazida pela reportagem. A Vale preza pela preservação dos dados de seus empregados e adota as melhores práticas neste sentido."

A The Hack acionou a Amazon requisitando a remoção urgente do conteúdo e, no momento em que esta reportagem foi escrita, o servidor já se encontrava inacessível.


Compartilhar twitter/ facebook/ copiar link
Insira alguma palavra-chave. 0 Aqui está o que nós encontramos

Que tal falar conosco sobre parcerias e oportunidades?

Vamos tomar um café. Mande um email para hello@thehack.com.br.