Um novo grupo de cibercriminosos sequestrou imagens íntimas e dados financeiros de pacientes de consultórios de cirurgia plástica do Rio Grande do Sul e do Paraná. Também publicou prontuários de uma clínica de saúde sexual masculina em Minas Gerais.
O Qiulong veio a público na sexta (19) em página na deep web, à qual a reportagem teve chegada, que segue no ar e foi atualizada pela última vez nesta quarta (24). A quadrilha já divulgou fotografias de pessoas nuas —algumas incluem rosto. A publicação pede resgate para não espalhar os dados em espaços de espaçoso chegada, uma vez que as redes sociais.
Um dos consultórios vitimados pelo ataque virtual diz que as fotos publicadas não são de seus clientes, mas confirma que sofreu um ransomware —ataque virtual caracterizado pelo sequestro de dados. Um segundo também confirma um ataque, mas não quis comentar. Ambos dizem ter registrado boletim de ocorrência. Os outros dois não atenderam a reportagem.
“Dr., se você se importa com a privacidade dos seus pacientes, pare de guiar seu Mustang uma vez que um negligente e deixe de permanecer em silêncio”, diz a mensagem de chantagem. O pedido de resgate cita a titulação do médico junto à Sociedade Brasileira de Cirurgia Plástica, Associação Médica Brasileira e Recomendação Federalista de Medicina.
Os criminosos dizem ter controle sobre 64 gigabytes de informações sensíveis originalmente armazenados por quatro consultórios. Tratam-se de fotos com nudez, dados pessoais, bancários, de pagamentos e contratuais, além de comunicações entre médico e paciente.
Os criminosos também dizem ter chegada a senhas dos médicos em diferentes serviços.
O vazamento foi identificado pela firma de cibersegurança ISH. “Ainda não temos mais detalhes sobre a operação dessa quadrilha, considerando que eles foram identificados recentemente.”
Segundo a empresa, a saúde é o segundo setor mais visado no Brasil por ransomware —sequestro de dados para pedido de resgate.
Por lei da LGPD, as empresas são obrigadas a propalar se sofreram qualquer dano decorrente de uma invasão hacker se seus clientes ou funcionários tiveram dados vazados na internet e devem notificar a Mando Vernáculo de Proteção de Dados e as vítimas.
“A privação de notificação adequada pode sim configurar uma infração à LGPD passível de penalização, além das medidas judiciais cabíveis pelos titulares que foram vítimas”, diz o coordenador da Data Privacy Brasil Pedro Martins.
Procurada pela Folha, a resguardo do médico Lincoln Perdão Neto afirmou que o sequestro de dados do consultório ocorreu em dezembro. Segundo a advogada Isabela Maria Stoco, o médico registrou boletim de ocorrência no dia 6 daquele mês e, desde logo, um processo criminal corre em sigilo de Justiça.
Stoco diz que as imagens de pessoas nuas divulgadas pelos criminosos não são de pacientes do médico paranaense.
Perdão Neto decidiu não remunerar o resgate para os criminosos, por considerar que o valor pedido em bitcoins, atualmente cotadas em R$ 334 milénio por unidade, “era impraticável”, disse Stoco à reportagem.
“Depois o ransomware, o dr. Perdão Neto procurou o responsável técnico pelo tratamento, buscou a Justiça, o CRM [Conselho Regional de Medicina] e fez todo o necessário para estar de harmonia com a LGPD [Lei Geral de Proteção de Dados]”, afirma Stoco.
Depois disso, o consultório teria conseguido restabelecer chegada aos prontuários dos pacientes, segundo a advogada.
A roubo ocorreu por meio de contas falsas no Instagram e de um e-mail de origem desconhecida, com hospedagem fora do país. “Isso dificulta apurar a autoria do delito”, afirma Stoco.
À reportagem, o consultório de William Segalin disse que não vai comentar o caso. Citou que registrou boletim de ocorrência, mas não deu detalhes.
O consultório de Andréa Rechia, sediado em Santa Maria, a 270 quilômetros de Porto Contente, não retornou ao contato da reportagem por relação e WhatsApp.
A Secretaria de Segurança Pública do Rio Grande do Sul disse que sempre recomenda o registro de boletim de ocorrência. A pasta afirmou que não conseguiria checar a existência do BO até a publicação desta reportagem.
Procurada por telefone e email, a clínica de saúde sexual Homini, de Belo Horizonte, não atendeu.
Ataques ao setor de saúde são tendência global, diz consultoria
Os pacientes podem buscar reparação judicial, caso consigam provar prejuízos relacionados ao vazamento de dados, conforme entendimento do STJ.
“O trajo de os dados ainda estarem disponíveis na deep web é motivo suplementar para que os titulares sejam comunicados o mais rápido provável, para que possam tomar medidas de segurança para prevenir danos maiores ainda no horizonte próximo e buscar a ajuda de qualquer jurisperito, órgão publico ou organização da sociedade social”, afirma Martins.
Em nota, a Sociedade Brasileira de Cirurgia Plástica (SBCP) diz que orienta seus associados a adotar protocolos de segurança avançados e fazer backups frequentes. Realiza também instrução contínua e campanhas para que os médicos se mantenham em conformidade com a Lei Universal de Proteção de Dados.
“A preservação da confidencialidade e da privacidade dos pacientes é de máxima prioridade
para as entidades médicas para garantirem a integridade e a segurança dos dados”, diz a entidade em nota.
Imagens íntimas e prontuários são considerados dados sensíveis pela LGPD e têm requisitos adicionais de segurança e prevenção, uma vez que o consentimento prévio do titular das informações.
Relatório da empresa de cibersegurança Sophos aponta que a preferência de cibercriminosos por empresas de saúde é uma tendência global. O setor concentrou 12% dos ransomwares no mundo, em 2023, segundo relatório.
Diferentemente do Qiulong, há grupos de cibercriminosos que se comprometem a não hostilizar empresas do setor da saúde, para seguir um código de moral.
De um lado, as pequenas e médias empresas, uma vez que são os casos dos consultórios, não costumam ter uma equipe de segurança dedicada, o que as tornam mais vulneráveis a ataques, de harmonia com. De outro, esses negócios apresentem uma margem de lucro menor por ataque aos criminosos.
