Brecha no site do Hospital São Camilo exibia dados de pacientes
Uma falha de segurança no site oficial do Hospital São Camilo, em São Paulo (SP), exibia dados sensíveis de clientes e pacientes apenas com a inserção de um número CPF. Após contato com a assessoria do hospital, a falha foi corrigida.
A falha estava presente no domínio “Agendamento Online”. Por lá, ao inserir um CPF cadastrado, o sistema automaticamente retornava dados como: nome completo, email pessoal, data de nascimento e, consequentemente, um CPF condizente.
“De posse destas informações, além da quebra de sigilo, diversos tipos de ataques direcionados podem ser feitos.”
Sendo assim, qualquer script kiddie pode criar um script para validar uma lista de CPFs e além de descobrir informações pessoais, também descobrirá que aquela pessoa é cliente deste hospital”, comentou o leitor.
“Como exemplo, fiz a busca do Hospital no Facebook, levantei os usuários que comentaram e com uma simples busca na internet encontrei o CPF”.
De acordo com Renato Marinho, chefe de pesquisas do Morphus Labs e SANS ISC Handler, “muitas vezes, essas são as informações solicitadas por algumas instituições para confirmação da identidade de uma pessoa e, certamente, alguém poderia tentar tirar vantagem disso. Desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social”.
“O ideal para evitar que dados sejam roubados seria uma autenticação com duplo fator.”
Fernando Amatte, gerente de cibersegurança da CIPHER comentou o seguinte sobre a técnica de engenharia social: “Engenharia social é uma disciplina muito abrangente e parte desse ataque está na facilidade de se conseguir esse tipo de informação. Com esses dados em mãos, o hacker pode usar uma combinação dessas informações, pois sabem que os usuários combinam nome de cachorro, por exemplo, com a data de nascimento. Com isso, usar como argumento para um ataque direcionado se torna fácil. O ideal para evitar que dados sejam roubados seria uma autenticação com duplo fator: a pessoa solicita o cancelamento e então alguém entra em contato para confirmar a solicitação”. Após denúncia a falha foi corrigida rapidamente.
Fonte: TecMundo
Gostaria de saber mais ou receber uma proposta? Fale conosco!
Para conhecer melhor nossas soluções clique aqui.
Seja mais, seja Arkan System!