Você já ouviu falar sobre o caso de incidente de vazamento de dados da Clínica Psiquiátrica Vastaamo?

A Clínica Vastaamo é uma das maiores da Europa e trata cerca de 40.000 pacientes e dirige 25 centros pela Finlândia.

Milhares de pacientes, inclusive menores de idade e até mesmo famosos, tiveram informações pessoais vazadas após o ataque de hackers, incluindo detalhes das sessões de terapia e prontuários eletrônicos.

Veja mais detalhes do caso:

Uma brecha de segurança em uma das maiores clínicas de saúde mental da Finlândia levou milhares de pacientes a serem extorquidos pelos criminosos no segundo semestre de 2020.

O caso envolveu a Vastaamo, que viu as informações pessoais e, no mais grave, também de tratamento, vazando quando os bandidos obtiveram acesso aos bancos de dados da empresa por um período de quase seis meses, entre novembro de 2018 e março de 2019.

Apesar das datas, todo o histórico dos pacientes que passaram pela instituição desde 2008, quando ela foi fundada, estaria disponível no banco de dados, que não contava com as devidas proteções de segurança e tinha senhas de acesso inseguras. A própria Vastaamo chegou a ser extorquida, com os bandidos exigindo um valor de 40 Bitcoins, à época equivalente a cerca de US$ 520 mil.

Extorsão a Vastaamo e pacientes

Quando a rede não efetuou o pagamento, os criminosos se voltaram aos pacientes, além de prometerem vazar 100 registros médicos por dia até que o resgate fosse pago. Entre as primeiras exposições estavam figuras públicas, políticos e até celebridades que buscaram tratamento na Vastaamo, mostrando que os criminosos haviam analisado as informações que possuíam e estavam prontos para a guerra.

Os bandidos tinham acesso ao histórico médico dos pacientes e até mesmo às anotações de psiquiatras e médicos, incluindo relatos feitos de forma confidencial durante sessões de terapia, que revelavam segredos e detalhes sobre relacionamentos afetivos ou familiares. Os dados serviam, basicamente, como uma devassa sobre a intimidade de cerca de 30 mil pessoas, que eram extorquidos em € 200, ou cerca de R$1.300, que deveriam ser pagos em 24 horas. Caso contrário, o total aumentava para € 500, cerca de R$ 3.200, a serem pagos em dois dias — por fim, as informações seriam não apenas publicadas na internet, mas também enviadas, justamente, às pessoas citadas pelos indivíduos em seus relatos.

A revista americana Wired explorou algumas destas histórias pessoais, como a do estudante Jere, que passou pela Vastaamo durante sua adolescência para lidar com questões relacionadas ao abuso de drogas, álcool e as relações complexas com sua mãe. O ataque, como aponta o relato dele, foi feito de forma direcionada, já que ele e também seus familiares receberam a mesma oferta de extorsão, caso contrário, todos os segredos de seu tratamento — incluindo relatos de abuso, confissões e anotações sobre seu estado mental à época — seriam abertos aos envolvidos e ao público

Conclusão

Após investigação, as autoridades finlandesas concluíram que a Vastaamo foi responsável pelo incidente, por não possuir práticas adequadas de segurança digital. Os históricos dos pacientes, por exemplo, não estavam criptografados, enquanto terminais e sistemas de acesso remoto compartilhavam senhas fáceis de serem descobertas.

A reportagem da Wired também aponta sérios problemas técnicos nas soluções usadas pela cadeia, com sistemas desenvolvidos internamente e de forma acelerada para acompanhar o ritmo de crescimento da empresa. O foco, novamente, estava na facilidade de uso, mas com ela, também vieram os problemas de segurança e até mesmo o descumprimento de legislações relacionadas à privacidade e ao tratamento de dados hospitalares que levaram ao vazamento em massa das informações.

Apesar dos problemas, a Vastaamo não interrompeu os atendimentos durante o incidente, enquanto entrava em contato com os pacientes atingidos oferecendo informações e aconselhamento gratuito. O caso, hoje, é assunto de projetos de lei que tornam ainda mais pesadas as multas e sanções para casos de violação de privacidade e vazamento de dados devido à imprudência das companhias, enquanto investigações federais ainda estão em andamento para localizar o responsável, ou o grupo, por trás do vazamento.

Para as vítimas, resta apenas o temor enquanto o banco de dados completo da rede de clínicas permanece circulando pela internet, em fóruns de cibercrime e sistemas de compartilhamento. Não se sabe, também, quantas pagaram o resgate solicitado pelos bandidos e o total de pessoas que foram atacadas diretamente por eles.

Fonte: Wired e Canaltech

Esse caso mostra o quanto é importante tratar dados pessoais, principalmente dados sensíveis de forma adequada.

Agora, com a entrada da Lei Geral de Proteção de Dados em vigor, todo tratamento de dados será regulado pela lei. Isso significa que todos que estiverem em não conformidade, podem sofrer prejuízos.

Esses prejuízos podem envolver, multas administrativas que vão começar a ser aplicadas em agosto pela ANPD, processos pelos próprios titulares de dados ou até mesmo os incidentes de vazamento de dados que além de manchar a reputação da empresa, podem causar sérios danos aos titulares.

 

Rate this post
Terceiro Setor

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here