Do que se trata?
A 9 de setembro, a Agência Nacional de Segurança dos Sistemas de Informação (ANSSI) alertou para uma fuga de dados franceses relativos a milhões de resultados de testes à COVID-19 num servidor de alojamento na Nova Zelândia.
De facto, a Assistance Publique-Hôpitaux de Paris (AP-HP) foi vítima de um ataque informático causado por uma vulnerabilidade do seu software.
Neste contexto, foram disponibilizados dados pessoais e médicos, bem como o tipo de teste e o seu resultado. Além disso, foram também divulgados a identidade e os dados de contacto do profissional de saúde que o realizou.
As pessoas em causa foram contactadas para as informar da situação, mas também sobre o que se recomenda fazer para reagir.
Uma semana após os factos, novas informações confirmam que não se trata de um erro humano nem de uma falha da instituição, mas sim de uma falha de software explorada com fins maliciosos.
Esta falha foi confirmada pela empresa norte-americana Hitachi Vantara, que desenvolve o software HCP Anywhere, utilizado pelas equipas da AP-HP.
Num comunicado, a Hitachi Vantara afirma ter recebido, a 13 de setembro, a informação sobre a suspeita de uma falha. Após análise, verificou-se que se tratava de « um conjunto de eventos complexos e discretos que poderiam, eventualmente, resultar numa vulnerabilidade se fossem explorados por um atacante mal-intencionado » (fonte: Numerama).
Logo no dia seguinte, a empresa conseguiu disponibilizar um primeiro script para minimizar o impacto causado por este ataque e os efeitos desta vulnerabilidade. Dois dias depois, foi possível distribuir uma atualização completa deste software a todos os clientes.
Será que isto pode voltar a acontecer?
A falha em questão é designada por falha do tipo 0-day. Estas falhas são extremamente temidas na segurança informática, pois dizem respeito a vulnerabilidades que já existiam antes do lançamento de um software, de uma aplicação ou de um produto. São perigosas porque ainda não foram documentadas. Podem ser conhecidas ou não pelo criador do produto. Alguns criadores, apesar de terem conhecimento das falhas existentes, decidem mesmo assim colocar o produto no mercado, por razões económicas ou técnicas.
Será que esta falha pode ser considerada uma negligência por parte do criador? O link de acesso aos resultados deveria ter sido automaticamente eliminado alguns dias após a consulta do paciente. Também se pode questionar a criptografia dos dados.
Para tentar obter mais informações, estão a ser realizadas várias investigações: uma interna pela AP-HP; outra pela Comissão Nacional de Informática e Liberdades (CNIL), bem como uma última iniciada pelo Ministério Público de Paris.
Já se sabe quem é o culpado?
Ao que parece, o responsável é um estudante de informática do departamento do Var, contrário ao passe sanitário, que justificou o seu ato como uma ação de protesto. Não tinha como objetivo exigir um resgate nem roubar esses dados, mas pretendia apenas « demonstrar a fraqueza e a falibilidade do sistema informático da AP-HP », precisa a AFP (fonte: Le Monde)
Como se proteger?
Não é possível combater um ataque a um site conhecido a nível individual. No entanto, podemos manter-nos atentos a potenciais ameaças, tais como:
- Manipulação psicológica: estes alertas são-lhe enviados para o levar a acreditar que já é cliente da organização mencionada, ou ainda para despertar a sua curiosidade e levá-lo a clicar.
- O smishing : atua nos seus telemóveis através de SMS ou chamadas telefónicas
- No que diz respeito aos designs utilizados, algumas grandes marcas são reproduzidas, mas raramente são idênticas e/ou de qualidade semelhante; preste atenção aos detalhes.
- O conteúdo do e-mail: se as afirmações parecem irrealistas, uma oferta desproporcionada, um ganho injustificado, etc.
- Não clique: quando um link, um e-mail ou uma mensagem lhe parecer estranho, é melhor não clicar.
- No entanto, se verificar que os seus dados foram pirateados, não hesite em comunicar o facto à ANSSI e/ou em apresentar uma queixa junto da CNIL ou do Cybermalveillance.gouv.
A Avant de Cliquer também propõe sensibilizar a sua organização através da nossa solução.
A experiência ao seu alcance
