Milhares de detalhes altamente sensíveis de saúde de pessoas, incluindo áudio e vídeo de sessões de terapia, estavam livremente acessíveis na internet, conforme revelado por uma nova pesquisa. O anúncio de informações, associado a uma empresa de saúde dos EUA, incluía mais de 120.000 arquivos e mais de 1,7 milhão de logs de atividades.
No final de agosto, o pesquisador de segurança Jeremiah Fowler descobriu o tesouro de informações expostas em um banco de dados desprotegido vinculado ao provedor de serviços médicos virtuais Confidant Health. A empresa, que atua em cinco estados, incluindo Connecticut, Flórida e Texas, ajuda a fornecer recuperação de dependência de álcool e drogas, juntamente com tratamentos de saúde mental e outros serviços.
Dentro dos 5,3 terabytes de dados expostos havia detalhes extremamente pessoais sobre pacientes que vão além das sessões de terapia pessoal. Documentos vistos por Fowler incluíam relatórios de várias páginas das notas de admissão psiquiátrica das pessoas e detalhes dos históricos médicos. “Ao final de alguns dos documentos dizia ‘dados de saúde confidenciais'”, diz Fowler.
Por exemplo, um arquivo de admissão psiquiátrica de sete páginas, que parecia ser baseado em uma sessão de uma hora com um paciente, detalha problemas com álcool e outras substâncias, incluindo como o paciente afirmou ter tomado “pequenas quantidades” de narcóticos da fonte de hospício de seu avô antes que o membro da família falecesse. Em outro documento, uma mãe descreve a relação “contenciosa” entre seu marido e filho, incluindo que enquanto seu filho estava usando estimulantes, acusou seu parceiro de abuso sexual.
Os documentos de saúde expostos incluem algumas anotações médicas sobre a aparência das pessoas, humor, memória, seus medicamentos e estado mental geral. Uma planilha vista pelo pesquisador parece listar membros do Confidant Health, o número de consultas que tiveram, os tipos de consultas e mais.
“Há alguns traumas familiares de partir o coração, realmente dolorosos, traumas pessoais”, diz Fowler, acrescentando que alguns dos arquivos eram áudios e vídeos de sessões de pacientes. “É quase como ter seus segredos mais profundos e sombrios que você contou ao seu diário revelados, e são coisas que você nunca quer que sejam divulgadas”.
Ao lado dos arquivos médicos no banco de dados exposto, havia documentos de administração e verificação, incluindo cópias de carteiras de motorista, cartões de identificação e cartões de seguro, diz Fowler. Os logs também continham indicações de que alguns dados são coletados por chatbots ou inteligência artificial, fazendo referências a prompts e respostas de IA a perguntas.
O Confidant Health rapidamente desligou o acesso ao banco de dados exposto depois que Fowler entrou em contato com a empresa, ele diz. O pesquisador, que alerta as empresas sobre dados expostos e não faz download de nenhum deles, diz que uma parte dos 120.000 arquivos expostos tinha algum tipo de proteção por senha em vigor. Fowler diz que revisou cerca de 1.000 arquivos para verificar a exposição e determinar a fonte dos dados para que pudesse alertar a empresa. Ele diz que é incomum que um banco de dados exposto inclua arquivos bloqueados e desbloqueados.
Em comunicado à WIRED, o cofundador do Confidant Health, Jon Read, diz que a empresa leva a sério as questões de segurança e “questiona a natureza sensacionalista” das descobertas. Read diz que uma vez que a empresa foi notificada da “configuração imprópria”, o acesso aos arquivos expostos foi “corrigido em menos de uma hora”.
