Um novo incidente de segurança digital chamou a atenção para os riscos crescentes na proteção de dados de saúde. Uma falha em um banco de dados da Confidant Health, uma empresa de telessaúde com atuação em estados como Connecticut, Flórida e Texas, resultou na exposição de informações altamente sensíveis de seus pacientes, incluindo gravações de áudio e vídeo de sessões de terapia.
O pesquisador de segurança Jeremiah Fowler descobriu a brecha no final de agosto, alertando que mais de 120 mil arquivos e 1,7 milhões de registros de atividades estavam publicamente acessíveis.
Os dados expostos incluíam uma série de informações pessoais e detalhadas sobre os pacientes da Confidant Health, uma empresa focada em tratamentos de saúde mental e recuperação de dependência de drogas e álcool.
Entre os arquivos estavam relatórios psiquiátricos detalhados, que continham notas sobre os diagnósticos e tratamentos de pacientes.
Um dos relatórios, por exemplo, com mais de sete páginas, mencionava o uso de narcóticos retirados de estoques de cuidados paliativos. Outros documentos relatavam problemas familiares e psicológicos, revelando a profundidade das questões enfrentadas pelos pacientes.
Fowler destacou a gravidade da exposição, comparando-a a ter os segredos mais íntimos de um diário pessoal revelados ao público. Além disso, documentos administrativos, como carteiras de identidade e de seguro, também estavam no banco de dados, aumentando as preocupações com possíveis fraudes.
Reação rápida da Confidant Health
A Confidant Health agiu rapidamente ao fechar o banco de dados assim que foi notificada, corrigindo o problema em menos de uma hora.
A empresa afirmou, em um comunicado, que a exposição afetou menos de 1% do total de arquivos e que não houve indícios de acesso mal-intencionado.
A empresa também destacou que nenhum chatbot ou IA interagiu com os dados expostos.
Apesar disso, a Confidant realizou uma auditoria de segurança para garantir que incidentes futuros sejam evitados.
Este caso é mais um lembrete do risco crescente para empresas de saúde que lidam com dados confidenciais. Com o aumento de ataques cibernéticos direcionados a organizações médicas, garantir a segurança digital tornou-se uma prioridade.
O setor precisa continuar investindo em protocolos de segurança cibernética para proteger os dados de seus pacientes, especialmente com o crescimento de serviços de telessaúde.
Em incidentes anteriores, como o ataque à empresa finlandesa de psicoterapia Vastaamo em 2020, os criminosos cibernéticos vazaram informações sensíveis de pacientes online, exigindo resgates. Casos como esses mostram como informações pessoais de saúde podem ser exploradas, causando danos irreparáveis aos indivíduos.
