A iRhythm, empresa especializada em monitorização cardíaca, foi alvo de um roubo de dados, seguido de uma tentativa de extorsão.
Num documento apresentado à Comissão de Valores Mobiliários (SEC), a iRhythm revelou ter sido contactada, no dia 9 de junho, por alguém que alegava ter roubado informações confidenciais, incluindo dados proprietários, informações de saúde protegidas (PHI) de pacientes e outros dados pessoais. Essa pessoa exigiu um pagamento em troca de não divulgar os dados.
A iRhythm fornece serviços de monitorização e análise cardíaca ambulatória (por exemplo, através do adesivo Zio) e, segundo consta, já processou mais de dois mil milhões de horas de dados de batimentos cardíacos de mais de doze milhões de doentes.
No documento apresentado, a empresa afirmou que os dados foram obtidos através de engenharia social e provêm de «determinadas aplicações empresariais alojadas por terceiros», sem revelar mais pormenores sobre a quantidade de dados.
No seu próprio site, a iRhythm também não revela muitos detalhes sobre a natureza dos dados roubados, mas parece dar a entender que não foram afetados dados financeiros:
«Não identificámos qualquer impacto nos nossos produtos, nos nossos sistemas clínicos ou de dispositivos médicos, nas nossas relações com os clientes, nas nossas operações de fabrico e distribuição, na segurança dos doentes ou na nossa capacidade de satisfazer as necessidades dos doentes. Além disso, não armazenamos nem conservamos informações financeiras individuais nem dados de cartões de pagamento.»
À medida que avançamos com a investigação, iremos notificar as pessoas afetadas por este incidente, em conformidade com a legislação aplicável, e tomar as medidas necessárias para as proteger e mitigar o impacto que lhes foi causado.
No entanto, o documento apresentado à SEC acrescenta que a iRhythm considerou que o incidente é significativo, «tendo em conta o volume de dados potencialmente afetados». Juntamente com as alegações dos extorsionários de que possuem dados médicos dos pacientes, isso torna esta violação digna de atenção caso tenha utilizado os serviços da iRhythm.
Mesmo sem dados de pagamentos, as violações de segurança na área da saúde têm graves consequências a jusante:
- Os atacantes podem criar e-mails, mensagens de texto ou chamadas altamente convincentes que façam referência a procedimentos específicos ou episódios de monitorização (por exemplo, «sobre a sua recente gravação da atualização do Zio») para induzir os doentes a partilhar mais dados ou a pagar faturas falsas.
- Os dados comprometidos podem ser utilizados para criar uma identidade falsa, cometer fraude de seguros ou roubo de identidade médica.
- A divulgação de informações cardíacas e outras informações relacionadas com a saúde pode ser um assunto extremamente delicado e ter consequências no âmbito laboral ou em matéria de seguros, especialmente se os dados forem publicados publicamente ou vendidos a corretores de dados.
Os dados relativos a violações na área da saúde tendem a circular durante anos, e as vítimas podem ser alvo de tentativas esporádicas de fraude e phishing muito tempo depois de as notícias terem deixado de ser notícia.
Como se manter seguro
Se já utilizou os serviços da iRhythm, fique atento ao correio, ao e-mail e aos portais de pacientes para receber notificações oficiais sobre a violação de dados por parte da iRhythm ou do seu prestador de cuidados de saúde.
Nos EUA, as violações de informações de saúde protegidas que cumpram determinados critérios têm de ser comunicadas aos doentes e às autoridades reguladoras. A iRhythm comprometeu-se a «notificar as pessoas afetadas por este incidente, em conformidade com a legislação aplicável, e a tomar as medidas necessárias para proteger essas pessoas e remediar o impacto que lhes foi causado».
Para evitar cair nas mãos de phishers e burlões:
- Quando receber uma comunicação sobre a violação de dados, verifique através de outros canais se esta provém realmente da iRhythm. Aceda diretamente ao site oficial da iRhythm ou ao portal do doente, ou ligue para um número de telefone conhecido para confirmar se a comunicação é genuína.
- Tenha especial cuidado com e-mails ou mensagens de texto que aleguem oferecer indemnizações, reembolsos ou outras vantagens financeiras relacionadas com este incidente.
- Altere as palavras-passe dos portais associados ao iRhythm e dos portais de pacientes da sua clínica de cardiologia ou do hospital, especialmente se tiver reutilizado essas palavras-passe noutros locais.
- Inicie sessão no portal da sua seguradora de saúde e verifique regularmente os pedidos de reembolso.
- Se detetar alguma atividade suspeita, comunique-a imediatamente à sua seguradora e ao seu prestador de serviços e peça-lhes para colocarem a sua conta em alerta devido a um possível roubo de identidade.
- Não forneça informações pessoais ou financeiras por telefone só porque a pessoa que liga conhece detalhes sobre si que possa ter obtido a partir de dados roubados.
Sejamos realistas, uma janela de navegação anónima tem as suas limitações.
Violações de segurança, comércio na dark web, fraude de cartões de crédito. Malwarebytes Identity Theft monitoriza tudo isto, alerta-o rapidamente e inclui um seguro contra roubo de identidade.
