Falha expõe dados de mais de 6 milhões de clientes de plano de saúde

Créditos:

Um vazamento de dados da operadora de planos de saúde Hapvida expôs dados como nome completo, endereço físico e CPF de quase 6,4 milhões clientes da companhia. A denúncia foi revelada com exclusividade pelo site Olhar Digital.

Segundo o 'Brazil Safe', grupo de desenvolvedores influenciados pela ética hacker (hackers white hat), trata-se de uma falha de segurança que não exige conhecimentos avançados em programação. Para ter acesso à brecha, é necessário que o usuário possua apenas uma conta no site da empresa de plano de saúde. Após adentrar o sistema da Hapvida, é possível obter acesso aos inúmeros números de diferentes contratos modificando números aleatoriamente do código HTML da página (acessado facilmente pelo menu 'inspecionar elemento' de qualquer navegador).

A fonte afirma que a falta de criptografia dos dados facilita a edição, algo que poderia ser evitado se a companhia utilizasse tokens, o que ofereceria mais segurança aos clientes. Após a etapa de troca de perfis, ainda era possível gerar boletos, que traziam nome completo, CPF e endereço físico completo.

A 'Brazil Safe' informou que, após a descoberta da falha, tão logo notificou à empresa por meio de formulário no site oficial bem como por mensagens enviadas aos funcionários da Hapvida na rede social LinkedIn. Entretanto, apesar do esforço do grupo, não obteve retorno em nenhum dos canais.

A brecha, no entanto, parece não estar mais disponível, segundo a fonte da denúncia, que realizou a checagem ainda na última sexta-feira (3).

O Olhar Digital entrou em contato com a operadora Hapvida, a qual nos enviou um posicionamento, que pode ser lido abaixo. 

A empresa investe constantemente na segurança do seu sistema e na proteção dos dados dos seus beneficiários. Diante da denúncia, o Grupo está investigando e avaliando a veracidade do caso.

Confrontar os riscos de segurança cibernética é uma luta diária das companhias e governos do mundo inteiro. A Companhia aplica as melhores ferramentas e práticas de mercado para proteger os dados de seus colaboradores, clientes e fornecedores.