Uma grave brecha de segurança na Gastroclínica Cascavel, um dos principais centros médicos especializados em sistema digestório do estado do Paraná, levou à exposição de dados pessoais de pacientes e médicos, bem como laudos completos de exames. Os arquivos estavam disponíveis livremente e sem nenhum tipo de criptografia ou verificação de credenciais a partir de um link no próprio site da empresa.
Bastava um clique para ter acesso a um servidor desprotegido que continha informações como datas de nascimento e convênios de pacientes, bem como seus nomes completos e também dos médicos solicitantes de exames, acompanhados de CRM e assinaturas. Também era possível ter acesso a laudos completos de diagnósticos, com descrição de problemas de saúde encontrados, exames de imagem e demais informações sobre as solicitações.
A falha foi indicada ao Canaltech por Giovanni Zadinello, pesquisador da startup em segurança da informação GZCorporation. Além dos dados pessoais, o servidor também trazia uma cópia completa dos sistemas internos da Gastroclínica Cascavel, que permite a marcação de consultas e a visualização online de exames, com todos os dados aparecendo sem nenhum tipo de criptografia ou verificação de credenciais de acesso.
As informações podiam ser visualizadas a partir do servidor desprotegido e baixadas localmente em um arquivo de backup. Alguns caminhos levavam a páginas de login, mas bastava analisar a estrutura do servidor para encontrar o que estava após os pedidos de credencial e acessar os dados livremente, uma vez que a plataforma não realizava nenhum tipo de verificação persistente das credenciais do usuário.
As informações podiam ser visualizadas a partir do servidor desprotegido e baixadas localmente em um arquivo de backup. Alguns caminhos levavam a páginas de login, mas bastava analisar a estrutura do servidor para encontrar o que estava após os pedidos de credencial e acessar os dados livremente, uma vez que a plataforma não realizava nenhum tipo de verificação persistente das credenciais do usuário.
Fonte: Canaltech.