O maior vazamento de saúde da história americana: o que aconteceu e o que o Brasil deveria aprender

Investigadores rastrearam o início para um fornecedor de TI que faz integração entre sistemas hospitalares — uma camada invisível, mas com acesso amplo. A invasão usou credenciais comprometidas em um phishing antigo, que ninguém renovou. Por seis semanas, os atacantes se moveram lateralmente sem disparar alarmes.

Não foi só nome e CPF. Saíram históricos clínicos completos, prescrições, números de seguridade social e dados bancários. Esse é o pior tipo de vazamento, porque dados médicos não 'vencem': diferente de cartão de crédito, não dá pra trocar diagnóstico.

A operadora gastava milhões por ano em segurança própria. O fornecedor — que respondia por 11% das integrações — era pequeno, com time de TI enxuto e nenhuma certificação SOC 2. Vulnerabilidades terceirizadas explicam mais da metade dos vazamentos médios em saúde nos últimos cinco anos, segundo o HHS.

Reguladores propuseram obrigatoriedade de SOC 2 Type II para qualquer empresa que processe dados de saúde, mesmo indiretamente. Ações coletivas começaram a surgir em vários estados. As ações da operadora caíram mais de 12% no dia da divulgação.

A LGPD já obriga você a responder pelos dados que seus terceiros tratam. Operadoras de saúde, fintechs e e-commerces têm cadeias parecidas: integradores, gateways, provedores de SMS. Se sua empresa não pediu a última auditoria de segurança dos seus fornecedores nos últimos 12 meses, está exposta. A pergunta certa não é 'fomos invadidos?' — é 'quem do nosso ecossistema pode nos invadir sem perceber?'