Milhares de detalhes altamente sensíveis sobre a saúde de pessoas, incluindo áudios e vídeos de sessões terapêuticas, estavam acessíveis abertamente na internet, revelou uma nova pesquisa. O arquivo de informações, associado a uma empresa de saúde dos EUA, continha mais de 120.000 arquivos e mais de 1,7 milhão de registros de atividades.
No final de agosto, o pesquisador de segurança Jeremiah Fowler descobriu o tesouro de informações exposto em um banco de dados não seguro ligado ao provedor médico virtual Confidant Health. A empresa, que opera em cinco estados, incluindo Connecticut, Flórida e Texas, ajuda a fornecer recuperação de dependência de álcool e drogas, juntamente com tratamentos de saúde mental e outros serviços.
Dentro dos 5,3 terabytes de dados expostos estavam detalhes extremamente pessoais sobre os pacientes que vão além das sessões terapêuticas pessoais. Os arquivos vistos por Fowler incluíam relatórios de várias páginas das notas de admissão psiquiátrica das pessoas e detalhes dos históricos médicos. “No final de alguns dos documentos estava escrito ‘dados de saúde confidenciais'”, diz Fowler.
Por exemplo, um arquivo de admissão de psiquiatria de sete páginas, que parecia ser baseado em uma sessão de uma hora com um paciente, detalha problemas com álcool e outras substâncias, incluindo como o paciente afirmou ter tomado “pequenas quantidades” de narcóticos do suprimento de hospício de seus avós antes que o familiar falecesse. Em outro documento, uma mãe descreve a relação “contenciosa” entre seu marido e filho, incluindo que enquanto seu filho usava estimulantes acusou seu parceiro de abuso sexual.
Os documentos de saúde expostos incluem algumas anotações médicas sobre a aparência das pessoas, humor, memória, seus medicamentos e estado mental geral. Uma planilha vista pelo pesquisador parece listar os membros da Confidant Health, o número de consultas que tiveram, os tipos de consultas e mais.
“Há alguns traumas familiares, traumas pessoais realmente dolorosos”, diz Fowler, acrescentando que alguns dos arquivos eram áudios e vídeos de sessões de pacientes. “É quase como ter seus segredos mais sombrios que você contou em seu diário revelados, e são coisas que você nunca deseja que saiam.”
Ao lado dos arquivos médicos no banco de dados exposto estavam documentos de administração e verificação, incluindo cópias de carteiras de motorista, cartões de identificação e cartões de seguro, diz Fowler. Os registros também continham indicações de que alguns dados são coletados por chatbots ou inteligência artificial, fazendo referências a prompts e respostas de IA a perguntas.
Confidant Health rapidamente desligou o acesso ao banco de dados exposto depois que Fowler entrou em contato com a empresa, diz ele. O pesquisador, que alerta empresas para dados expostos e não faz download de nenhum deles, diz que uma proporção dos 120.000 arquivos expostos tinha algum tipo de proteção por senha. Fowler diz que revisou cerca de 1.000 arquivos para verificar a exposição e determinar a fonte dos dados para que pudesse alertar a empresa. Ele diz ser incomum que um banco de dados exposto inclua arquivos bloqueados e desbloqueados.
Em uma declaração à WIRED, o cofundador da Confidant Health, Jon Read, diz que a empresa leva a sério as preocupações com segurança e “questiona a natureza sensacionalista” das descobertas. Read diz que uma vez que a empresa foi notificada da “configuração inadequada”, o acesso aos arquivos expostos foi “corrigido em menos de uma hora”.
