Rainbow
  • Home
  • Apresentação
  • Atuação
  • Publicações
  • Software
  • Contato
17/06/2020

Clínica médica deixa vazar mais de 2,3 mil laudos de pacientes

Clínica médica deixa vazar mais de 2,3 mil laudos de pacientes
17/06/2020

Uma grave brecha de segurança na Gastroclínica Cascavel, um dos principais centros médicos especializados em sistema digestório do estado do Paraná, levou à exposição de dados pessoais de pacientes e médicos, bem como laudos completos de exames. Os arquivos estavam disponíveis livremente e sem nenhum tipo de criptografia ou verificação de credenciais a partir de um link no próprio site da empresa.

Bastava um clique para ter acesso a um servidor desprotegido que continha informações como datas de nascimento e convênios de pacientes, bem como seus nomes completos e também dos médicos solicitantes de exames, acompanhados de CRM e assinaturas. Também era possível ter acesso a laudos completos de diagnósticos, com descrição de problemas de saúde encontrados, exames de imagem e demais informações sobre as solicitações.

A falha foi indicada ao Canaltech por Giovanni Zadinello, pesquisador da startup em segurança da informação GZCorporation. Além dos dados pessoais, o servidor também trazia uma cópia completa dos sistemas internos da Gastroclínica Cascavel, que permite a marcação de consultas e a visualização online de exames, com todos os dados aparecendo sem nenhum tipo de criptografia ou verificação de credenciais de acesso.

As informações podiam ser visualizadas a partir do servidor desprotegido e baixadas localmente em um arquivo de backup. Alguns caminhos levavam a páginas de login, mas bastava analisar a estrutura do servidor para encontrar o que estava após os pedidos de credencial e acessar os dados livremente, uma vez que a plataforma não realizava nenhum tipo de verificação persistente das credenciais do usuário.

As informações podiam ser visualizadas a partir do servidor desprotegido e baixadas localmente em um arquivo de backup. Alguns caminhos levavam a páginas de login, mas bastava analisar a estrutura do servidor para encontrar o que estava após os pedidos de credencial e acessar os dados livremente, uma vez que a plataforma não realizava nenhum tipo de verificação persistente das credenciais do usuário.


Fonte: Canaltech.

Artigo anteriorA LGPD nas instituições de ensinoPróximo artigo FaceApp rouba os meus dados? Veja 6 coisas que você devia saber sobre ele.

Posts recentes

Rainbow apoia Mappy16/03/2022
ANPD e TSE lançam novo guia orientativo18/01/2022
Malta: IDPC multa C-Planet em € 65.000 por violação de dados18/01/2022

Tags

adequaçãoLGPD ANPD ANPPD base legal vulnerabilidade cibersegurança clubhouse consentimento cybersecurity datamapping data privacy dia zero direitos do titular direitos od totular DPO encarregado de proteção de dados exin faculdade e LGPD gdpr gestão das pessoas gestão de pessoas iapp ISMS ISO27001 ISO27002 ISO27701 legítimo interesse Lei 13.709 lei geral Lei Geral de Proteção de Dados LGPD LGPD e escolas LGPD em Vitória LGPD no ES mapeamentodedados onetrust PDFP PDPF proteção de dados RH segurança da informação vulnerabilidade WordPress zero-day

Informação de contato

Vitória | ES | Brasil
+55 27 3347-4450 | 27 9 9991-8701
comercial@rainbow-tecnologia.com.br
Rainbow | Rising Safer. Todos os direitos reservados.

Sobre a RAINBOW

A RAINBOW | Rising Safer apoia empresas nos desafios de negócios relacionados a dados, com experiência em questões legais e regulatórias.

Está preparada para projetar e executar serviços relacionados a Governança, Risco e Compliance, além de oferecer Consultoria e Software de Gestão de Privacidade e Proteção de Dados Pessoais.

 

Entre em contato

+55 27 3347-4450

+55 27 9 9991-8701

Posts recentes

Rainbow apoia Mappy16/03/2022
ANPD e TSE lançam novo guia orientativo18/01/2022
Malta: IDPC multa C-Planet em € 65.000 por violação de dados18/01/2022