[EXCLUSIVO] Operadora de planos de saúde Hapvida expõe dados de quase 6,4 milhões de clientes

Boletos com nome completo, endereço e CPF de clientes podiam ser acessados apenas modificando aleatoriamente os números de contrato
Liliane Nakagawa03/07/2020 18h53, atualizada em 03/07/2020 20h00

20200703041409

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Nesta sexta-feira (3), o Olhar Digital recebeu com exclusividade uma denúncia sobre um vazamento de dados da operadora de planos de saúde Hapvida. A brecha expôs dados como nome completo, endereço físico e CPF de quase 6,4 milhões clientes da companhia.

Segundo o ‘Brazil Safe’, grupo de desenvolvedores influenciados pela ética hacker (hackers white hat), trata-se de uma falha de segurança que não exige conhecimentos avançados em programação. Para ter acesso à brecha, é necessário que o usuário possua apenas uma conta no site da empresa de plano de saúde. Após adentrar o sistema da Hapvida, é possível obter acesso aos inúmeros números de diferentes contratos modificando números aleatoriamente do código HTML da página (acessado facilmente pelo menu ‘inspecionar elemento’ de qualquer navegador). A fonte afirma que a falta de criptografia dos dados facilita a edição, algo que poderia ser evitado se a companhia utilizasse tokens, o que ofereceria mais segurança aos clientes. Após a etapa de troca de perfis, ainda era possível gerar boletos, que traziam nome completo, CPF e endereço físico completo.

Reprodução

Imagem do boleto de pagamento de um cliente da empresa Hapvida. Créditos: Brazil Safe

À primeira vista, os dados expostos parecem não causar estragos maiores ao usuário, entretanto, o grupo alerta que há perigo caso a brecha seja explorada por algum invasor mal-intencionado, que poderá se utilizar de engenharia social, emissões de boletos falsos às vítimas, além da venda de dados, prática comum tanto na internet quanto na chamada deep web.

A ‘Brazil Safe’ também informou que, após a descoberta da falha, tão logo notificou à empresa por meio de formulário no site oficial bem como por mensagens enviadas aos funcionários da Hapvida na rede social LinkedIn. Entretanto, apesar do esforço do grupo, não obteve retorno em nenhum dos canais.

Felizmente, a brecha parece não estar mais disponível, segundo a fonte da denúncia, que realizou a checagem ainda nesta sexta-feira (3).

Reprodução

Operadora de planos de saúde cearense, que está entre os 10 maiores players do segmento, tem forte presença em vários estados do norte, nordeste e também no sul do país. Créditos: Divulgação 

O Olhar Digital entrou em contato com a operadora Hapvida, a qual nos enviou um posicionamento, que pode ser lido abaixo.

A empresa investe constantemente na segurança do seu sistema e na proteção dos dados dos seus beneficiários. Diante da denúncia, o Grupo está investigando e avaliando a veracidade do caso. 

Confrontar os riscos de segurança cibernética é uma luta diária das companhias e governos do mundo inteiro. A Companhia aplica as melhores ferramentas e práticas de mercado para proteger os dados de seus colaboradores, clientes e fornecedores.

Liliane Nakagawa é editor(a) no Olhar Digital