Mais de 94 mil arquivos médicos de brasileiros foram expostos após um ataque cibernético a uma empresa de software do setor de saúde, a MedicSolution. O grupo criminoso KillSec assumiu autoria do ataque, que envolveu exames, resultados de laboratório, raios‑X, fotos sensíveis — inclusive de menores —, totalizando cerca de 34 GB de dados acessados.
A vulnerabilidade estava em buckets da nuvem AWS mal configurados, o que permitiu que os dados estivessem acessíveis em texto simples. Entre as instituições afetadas, estão Vita Exame, Clínica Espaço Vida, Centro Diagnóstico Toledo, Labclinic e Laboratório Álvaro. O caso é particularmente grave porque a MedicSolution é um fornecedor crítico de TI para várias organizações de saúde, o que amplia o risco para muitos pacientes. Além disso, constatou‑se que os pacientes afetados não foram informados pela empresa sobre o vazamento.
Especialistas em segurança de dados apontam que o caso evidencia falhas comuns na proteção de informações sensíveis: ausência de boas práticas de configuração de nuvem, falta de monitoramento, e carência de procedimentos claros de resposta a incidentes. Também se destaca a necessidade legal e ética de notificação rápida às autoridades competentes (como a ANPD no Brasil) e aos cidadãos impactados.
Dica de prevenção
Tenha auditorias regulares nos ambientes de nuvem para identificar configurações incorretas ou permissivas;
Use criptografia para dados sensíveis “em repouso” (armazenados) e “em trânsito” (em comunicação) para dificultar acesso indevido;
Limite o acesso aos dados apenas a pessoal essencial, com autenticação forte e monitoramento de logs de uso;
Estabeleça um plano de resposta a incidentes que inclua comunicação imediata aos afetados e às autoridades, conforme exige a legislação de proteção de dados;
Faça treinamentos frequentes com funcionários para conscientização sobre segurança de dados, especialmente no setor de saúde.
No geral, esse vazamento mostra como a negligência em segurança de TI pode expor informações pessoais extremamente delicadas, com riscos físicos, emocionais e legais para os afetados. A boa notícia é que há medidas concretas que podem (e devem) ser adotadas desde já para reduzir essas falhas. Se você quer uma solução que ajude sua empresa a reforçar controle de acesso, segurança de identidade e proteção de dados sensíveis, conheça MFA Vault — ferramenta que oferece proteção digital robusta e compliance para negócios. Saiba mais em mfa2go.com