Dados de mais de 485.000 participantes de um programa de rastreamento do câncer do colo do útero foram roubados por agentes de ameaças depois que eles obtiveram acesso não autorizado a um laboratório terceirizado, de acordo com as autoridades holandesas.
O ataque ocorreu no laboratório Clinical Diagnostics NMDL em Rijswijk, não muito longe de Roterdã, entre 3 e 6 de julho.
No entanto, o laboratório, uma subsidiária da Eurofins Scientific, não informou as autoridades até 6 de agosto, de acordo com um comunicado de imprensa publicado ontem pela Associação Holandesa de Triagem de População (BDO).
Entre as informações roubadas estão nomes, endereços, datas de nascimento, números de serviço ao cidadão (BSN), possíveis resultados de testes e os nomes dos profissionais de saúde dos participantes, disse o BDO. Endereços de e-mail e números de telefone de um número menor de vítimas também foram roubados.
A BDO suspendeu temporariamente os serviços no laboratório enquanto realiza uma investigação independente dos sistemas de segurança de TI lá. Ele disse que os cidadãos podem continuar a participar do programa de triagem, pois um laboratório diferente será usado para processar os resultados.
No entanto, o BDO alertou as vítimas sobre o potencial de fraude subsequente se os agentes da ameaça venderem ou divulgarem as informações roubadas. Os afetados pela violação estão sendo notificados pelas autoridades holandesas.
“Estamos profundamente chocados com essa violação de dados e entendemos que os participantes que participaram da triagem populacional por meio de nós também estão muito chocados. Gostaria de expressar a eles nosso mais profundo pesar por isso ter acontecido”, disse a presidente da BDO, Elza den Hertog.
“Participar do programa de rastreamento do câncer do colo do útero já é uma experiência estressante para muitos participantes. E agora você está sendo informado de que seus dados pessoais também podem ter vazado.
O elo mais fraco
No entanto, a violação pode ser ainda pior do que se pensava, com alguns relatórios locais sugerindo que os hackers também obtiveram informações pessoais e médicas de outros pacientes que usaram o laboratório nos últimos três anos. Até 300 GB podem ter sido levados.
O vice-presidente de inteligência de segurança da Forescout, Rik Ferguson, argumentou que o incidente destaca como um único elo fraco pode ter um grande impacto em um grande número de vítimas.
“Os invasores procuram o não gerenciado e o não monitorado. Se você não pode vê-lo, não pode protegê-lo e não pode contê-lo quando for violado”, disse ele.
“Não se trata de corrigir mais rápido ou comprar outro produto pontual; trata-se de construir uma postura de segurança baseada em visibilidade e controle claros.”