A iRhythm, empresa especializada em monitoramento cardíaco, foi vítima de um roubo de dados seguido por uma tentativa de extorsão.
Em um documento apresentado à Comissão de Valores Mobiliários (SEC), a iRhythm revelou ter sido contatada, em 9 de junho, por alguém que alegou ter roubado informações confidenciais, incluindo dados proprietários, informações de saúde protegidas (PHI) de pacientes e outras informações pessoais. Essa pessoa exigiu um pagamento em troca de não divulgar os dados.
A iRhythm oferece monitoramento e análise cardíaca ambulatorial (por exemplo, utilizando o adesivo Zio) e, segundo relatos, já processou mais de dois bilhões de horas de dados de batimentos cardíacos de mais de doze milhões de pacientes.
No documento apresentado, a empresa afirmou que os dados foram obtidos por meio de engenharia social e provêm de “determinadas aplicações empresariais hospedadas por terceiros”, sem revelar mais detalhes sobre a quantidade de dados.
Em seu próprio site, a iRhythm também não revela muitos detalhes sobre a natureza dos dados roubados, mas parece dar a entender que nenhum dado financeiro foi afetado:
“Não identificamos qualquer impacto em nossos produtos, em nossos sistemas clínicos ou de dispositivos médicos, em nossas relações com os clientes, em nossas operações de fabricação e distribuição, na segurança dos pacientes ou em nossa capacidade de atender às necessidades dos pacientes. Além disso, não armazenamos nem mantemos informações financeiras individuais de contas nem dados de cartões de pagamento.”
À medida que conduzimos nossa investigação, notificaremos as pessoas afetadas por este incidente, em conformidade com a legislação aplicável, e tomaremos as medidas necessárias para protegê-las e remediar os efeitos causados a elas.
No entanto, o documento apresentado à SEC acrescenta que a iRhythm considerou o incidente significativo, “tendo em vista o volume de dados potencialmente afetados”. Somado às alegações dos extorsionários de que possuem dados médicos dos pacientes, isso torna a violação digna de atenção caso você tenha utilizado os serviços da iRhythm.
Mesmo sem dados de pagamento, as violações de segurança na área da saúde têm graves consequências:
- Os invasores podem criar e-mails, mensagens de texto ou ligações altamente convincentes que façam referência a procedimentos específicos ou episódios de monitoramento (por exemplo, “sobre sua recente gravação do patch do Zio”) para induzir os pacientes a compartilhar mais dados ou pagar contas falsas.
- Os dados vazados podem ser usados para criar uma identidade falsa, cometer fraude de seguro ou roubo de identidade médica.
- A divulgação de informações cardíacas e outras informações relacionadas à saúde pode ser um assunto extremamente delicado e ter repercussões no âmbito do emprego ou dos seguros, especialmente se os dados forem publicados publicamente ou vendidos a corretores de dados.
Os dados sobre violações na área da saúde tendem a circular por anos, e as vítimas podem enfrentar tentativas esporádicas de fraude e phishing muito tempo depois de as notícias terem perdido destaque.
Como se manter seguro
Se você já utilizou os serviços da iRhythm, fique atento ao correio, ao e-mail e aos portais do paciente para receber notificações oficiais sobre a violação de dados por parte da iRhythm ou do seu prestador de serviços de saúde.
Nos Estados Unidos, as violações de informações de saúde protegidas que atendam a determinados critérios devem ser comunicadas aos pacientes e às autoridades reguladoras. A iRhythm se comprometeu a “notificar as pessoas afetadas por este incidente, em conformidade com a legislação aplicável, e tomar as medidas necessárias para protegê-las e remediar os impactos sofridos por elas”.
Para evitar cair nas mãos de phishers e golpistas:
- Ao receber uma notificação sobre a violação de dados, verifique por outros meios se ela realmente foi enviada pela iRhythm. Acesse diretamente o site oficial da iRhythm ou o portal do paciente, ou ligue para um número de telefone conhecido para confirmar se a notificação é autêntica.
- Desconfie especialmente de e-mails ou mensagens de texto que aleguem oferecer indenizações, reembolsos ou outras vantagens financeiras relacionadas a este incidente.
- Altere as senhas dos portais vinculados ao iRhythm e dos portais de pacientes de cardiologia ou do hospital, especialmente se você tiver reutilizado essas senhas em outros lugares.
- Faça login no portal da sua seguradora de saúde e verifique regularmente os pedidos de reembolso.
- Se você notar algo suspeito, comunique imediatamente à sua seguradora e ao seu provedor e peça que bloqueiem sua conta por suspeita de roubo de identidade.
- Não forneça informações pessoais ou financeiras por telefone só porque a pessoa que está ligando conhece detalhes sobre você que pode ter obtido a partir de dados roubados.
Vamos ser sinceros: uma janela anônima tem suas limitações.
Violações de dados, comércio na dark web, fraudes de crédito. Malwarebytes Identity Theft monitora tudo isso, avisa você rapidamente e inclui um seguro contra roubo de identidade.
