Mercado fechado

Vazamento expõe imagens íntimas e dados de pacientes de cirurgia plástica

Felipe Demartini

Um grande vazamento de dados trouxe a público imagens sensíveis e dados de pacientes de cirurgia plástica que fizeram tratamentos em clínicas que utilizam softwares da NextMotion. A startup francesa fundada em 2015 fornece soluções de gerenciamento de dados, informações médicas e operações estéticas, com direito, também, às imagens que simulam o antes e o depois de um procedimento dessa categoria.

A descoberta é da vpnMentor, que localizou um banco de dados aberto nos servidores de nuvem da Amazon. Não foi possível precisar o total de pessoas atingidas, mas a base vazada continha mais de 900 mil arquivos individuais, em sua maioria, de natureza sensível contendo valores pagos, custos de procedimentos e informações pessoais de médicos e pacientes envolvidos. E esse, na realidade, é apenas o começo do problema.

Em uma vulnerabilidade das mais críticas, fotos e vídeos íntimos e altamente sensíveis também faziam parte do volume vazado. As fotos e também simulações do resultado das operações são íntimas e, muitas vezes, fortes, contendo nudez e também registros do andamento das cirurgias e de pós-operatório, bem como escaneamentos em 360 graus dos corpos ou rostos dos pacientes.

As fotos íntimas e arquivos não estavam organizados, mas em sua maioria, continham informações que poderiam identificar os retratados (Imagem: Reprodução/NextMotion)

Os documentos e conteúdos expostos continham informações que poderiam identificar os retratados, apesar de aparecerem de forma desorganizada em um único local. Diante do tamanho do volume, a vpnMentor acredita se tratar de um banco de dados generalizado, reunindo pacientes e médicos das 170 clínicas que usam os softwares da companhia em 35 países. De acordo com Emmanuel Elard, CEO da empresa, brasileiros não devem estar entre os comprometidos uma vez que nosso país não é um dos locais de atuação da startup.

Documentos internos das clínicas e até contratos firmados entre a fornecedora de software e seus clientes também estavam disponíveis no servidor. As informações variavam desde recentes até antigas, com alguns anos de idade, e revelavam valores pagos, termos de uso e declarações de consentimento para uso das informações, com direito a assinaturas de executivos, pacientes e médicos. Dados financeiros, entretanto, não puderam ser encontrados no volume comprometido.

"A brecha representa um erro humano", afirmou Elard, em entrevista ao Canaltech. Segundo ele, apenas arquivos de mídia estavam presentes no banco de dados desprotegido, que não incluía histórico médico, dados financeiros ou outras informações pessoais dos pacientes, clínicas ou médicos. "Os documentos disponíveis no servidor são de pessoas que não seguiram as melhores práticas de segurança e tiraram fotos de prontuários ou fichas para incluir no cadastro, em um comportamento que não é recomendado", completa.

O CEO da NextMotion atribuiu a falha a um erro humano, explicando que a vulnerabilidade dos servidores tinha a ver com uma má configuração feita pela equipe da startup. O executivo, por outro lado, garante que as informações não foram acessadas por ninguém além dos especialistas da vpnMentor e que os dados obtidos por eles estão seguros. Agora, a empresa realiza uma auditoria de segurança para entender o que aconteceu e encontrar eventuais novas falhas.

De acordo com os especialistas, a vulnerabilidade foi descoberta no dia 24 de janeiro, mas fechada somente em 5 de fevereiro, dias após a NextMotion ser informada sobre ela. Em um comunicado oficial, a startup afirma ter tomado medidas para corrigir o problema e garante que a brecha não está mais disponível, afirmando mais uma vez que informações pessoas ou de identificação dos pacientes não faziam parte do volume vazado.

No pronunciamento, a empresa afirma ainda ter passado por uma auditoria em 2018, tendo recebido parecer positivo de uma consultoria especializada em proteção de dados e cumprimento do GDPR, a legislação de proteção aos dados pessoais que está em vigor na União Europeia desde aquele ano. "Também estamos em contato com nossos clientes com informações sobre os dados disponíveis no servidor e informações sobre o que aconteceu", completou Elard.

Os especialistas responsáveis pela descoberta da brecha recomendam cautela aos pacientes que realizaram procedimentos em clínicas que utilizam o sistema. Por mais que dados pessoais ou bancários não estejam presentes, o perigo é quanto a tentativas de extorsão relacionadas ao conteúdo íntimo e sensível das imagens presentes, que na maioria dos casos, acompanham informações que identificam as pessoas retratadas nelas.

Fonte: Canaltech

Trending no Canaltech: