Fonte: Olhar Digital
Nesta sexta-feira (3), o Olhar Digital recebeu com exclusividade uma denúncia sobre um vazamento de dados da operadora de planos de saúde Hapvida. A brecha expôs dados como nome completo, endereço físico e CPF de quase 6,4 milhões clientes da companhia.
Segundo o 'Brazil Safe', grupo de desenvolvedores influenciados pela ética hacker (hackers white hat), trata-se de uma falha de segurança que não exige conhecimentos avançados em programação. Para ter acesso à brecha, é necessário que o usuário possua apenas uma conta no site da empresa de plano de saúde. Após adentrar o sistema da Hapvida, é possível obter acesso aos inúmeros números de diferentes contratos modificando números aleatoriamente do código HTML da página (acessado facilmente pelo menu 'inspecionar elemento' de qualquer navegador). A fonte afirma que a falta de criptografia dos dados facilita a edição, algo que poderia ser evitado se a companhia utilizasse tokens, o que ofereceria mais segurança aos clientes. Após a etapa de troca de perfis, ainda era possível gerar boletos, que traziam nome completo, CPF e endereço físico completo.
Felizmente, a brecha parece não estar mais disponível, segundo a fonte da denúncia, que realizou a checagem ainda nesta sexta-feira (3).
O Olhar Digital entrou em contato com a operadora Hapvida, a qual nos enviou um posicionamento, que pode ser lido abaixo.
A empresa investe constantemente na segurança do seu sistema e na proteção dos dados dos seus beneficiários. Diante da denúncia, o Grupo está investigando e avaliando a veracidade do caso.
Confrontar os riscos de segurança cibernética é uma luta diária das companhias e governos do mundo inteiro. A Companhia aplica as melhores ferramentas e práticas de mercado para proteger os dados de seus colaboradores, clientes e fornecedores.
