Uma falha de segurança no site oficial do Hospital São Camilo, em São Paulo (SP), exibia dados sensíveis de clientes e pacientes apenas com a inserção de um número CPF. Após contato com a assessoria do hospital, a falha foi corrigida. O TecMundo recebeu via Denúncia o aviso do leitor C0D3R3D.

A falha estava presente no domínio "Agendamento Online". Por lá, ao inserir um CPF cadastrado, o sistema automaticamente retornava dados como: nome completo, email pessoal, data de nascimento e, consequentemente, um CPF condizente.

De posse destas informações, além da quebra de sigilo, diversos tipos de ataques direcionados podem ser feitos

"Sendo assim, qualquer script kiddie pode criar um script para validar uma lista de CPFs e além de descobrir informações pessoais, também descobrirá que aquela pessoa é cliente deste hospital", comentou o leitor. "De posse destas informações, além da quebra de sigilo, diversos tipos de ataques direcionados podem ser feitos. Como exemplo, fiz a busca do Hospital no Facebook, levantei os usuários que comentaram e com uma simples busca na internet encontrei o CPF".

Uma captura de telaImagem enviada pelo leitor

De acordo com Renato Marinho, chefe de pesquisas do Morphus Labs e SANS ISC Handler, "muitas vezes, essas são as informações solicitadas por algumas instituições para confirmação da identidade de uma pessoa e, certamente, alguém poderia tentar tirar vantagem disso. Desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".

O ideal para evitar que dados sejam roubados seria uma autenticação com duplo fator

O TecMundo também conversou com Fernando Amatte, gerente de cibersegurança da CIPHER que comentou o seguinte sobre a técnica de engenharia social: "Engenharia social é uma disciplina muito abrangente e parte desse ataque está na facilidade de se conseguir esse tipo de informação. Com esses dados em mãos, o hacker pode usar uma combinação dessas informações, pois sabem que os usuários combinam nome de cachorro, por exemplo, com a data de nascimento. Com isso, usar como argumento para um ataque direcionado se torna fácil. O ideal para evitar que dados sejam roubados seria uma autenticação com duplo fator, a pessoa solicita o cancelamento e então alguém entra em contato para confirmar a solicitação".

O Hospital São Camilo foi contado pelo TecMundo na terça-feira (26), rapidamente resolvendo a falha de segurança no site.

Cupons de desconto TecMundo: