O TecMundo recebeu a denúncia sobre o caso no dia 15 de setembro. Desde então, tentamos repetidamente o contato com a empresa responsável para uma correção da falha e um posicionamento ao público. Não houve resposta ao veículo. Pelo descaso desprendido, o TecMundo não irá revelar detalhes da vulnerabilidade — mas o alerta se torna necessário, principalmente para clientes e usuários do sistema, que já sofrem com os dados circulando em grupos cibercriminosos.
A STDoctor, ou ISA Tech, é um sistema de gestão para clínicas e consultórios médicos. Segundo a própria empresa, “é o ecossistema completo de gestão que simplifica processos, protege dados e devolve tempo para o que realmente importa: cuidar de vidas”. Além da versão web, ela possui aplicativos para Android e iOS.
A empresa também afirma que já realizou mais de 330 mil atendimentos, com 6 mil acessos médicos e possuiria 135 mil clientes cadastrados. Se houver qualquer sinalização de preocupação, correção ou posicionamento por parte da empresa, a reportagem será atualizada.
“Cuidando de vidas”
A denúncia foi realizada pelo pesquisador de segurança Guilherme Nocera ao TecMundo, que também buscou alertar a empresa para correção, antes de avisar a imprensa, e foi ignorado.
Em grupos cibercriminosos no Telegram, uma API exposta da STDoctor (ISA Tech) é compartilhada. Por ela, é possível acessar todos os painéis de gerenciamento do sistema.
Além de dados pessoais e financeiros, é possível acompanhar até os chats entre médicos e funcionários
Dessa maneira, qualquer pessoa pode recolher os seguintes registros de clientes e usuários: nome completo, data de nascimento, email, telefone, CPF, endereço residencial, nome da mãe, profissão, número de convênio, informações de saúde (alergias, exames, receitas, prescrições, solicitações, atendimentos e consultas), laudos médicos e fotos de exames.
Meios de pagamento, taxas de cartão, datas de transação e valores associados também estão presentes no vazamento. Por último, ainda é possível checar os chats que acontecem dentro sistema, entre médicos e funcionários do sistema de gestão.
O que circula no submundo
As informações citadas acima envolvem milhares de brasileiros. Vamos detalhar, abaixo, os números de clientes e profissionais envolvidos em cada tipo de exposição:
- Informações financeiras expostas: 13 mil registros;
- Perfis de pacientes: mais de 500 mil registros com dados pessoais (alguns casos possuem fotos);
- Localização: registros de cadastros em mais de 5 mil cidades diferentes.
Detalhes sobre a vulnerabilidade não serão revelados pelo TecMundo ao público.
A exposição de dados pessoais e financeiros de cidadãos gera ação perante a LGPD (Lei Geral de Proteção de Dados). Companhias têm o dever de comunicar vazamentos e exposições de dados — e, se penalizadas, podem sofrer sanções que incluem multas de 2% sobre o faturamento limitadas a até R$ 50 milhões.
E agora: o que fazer?
O TecMundo recomenda que todos os clientes, usuários, funcionários e médicos que utilizam (ou utilizaram) a plataforma sigam alguns passos necessários para uma vida digital mais tranquila.
- Atenção ao CPF: utilize o Registrato, do Banco Central, para acompanhar movimentações no seu CPF;
- Atenção aos golpes direcionados: vazamentos do tipo são ouro para cibercriminosos especializados em spear phishing. É importante que você redobre a atenção para mensagens urgentes recebidas de serviços que você utilize. Confie na sensação de estranhamento em mensagens recebidas;
- Utilize antivírus: mantenha um bom antivírus instalado no seu celular e computador (Avast, Kaspersky, ESET, MalwareBytes etc);
- Proteja-se: tenha segundo fator de autenticação em todas as suas contas (se possível, com app terceiro, sem SMS);
- Mantenha seus apps e sistema operacional com a última atualização disponível, principalmente navegadores como Chrome, Edge, Firefox etc;
- Utilize novas senhas longas (mais de 12 caracteres) e complexas;
- Altere suas senhas a cada seis meses e não repita entre serviços.
Denuncie
Você também pode denunciar. O TecMundo apoia o trabalho ético de hackers e pesquisadores de segurança:
