Como hackers fazem dinheiro com informações médicas roubadas
Violações e vazamentos de dados tornaram-se tão comuns, tão parte de nosso cotidiano, que seu impacto, pelo menos em nosso imaginário, diminuiu.
Quando ouvimos falar de milhões de contas comprometidas, ou que as informações de inúmeros usuários foram roubadas, o grande volume de dados perdidos pode disfarçar o impacto individual.
Informações financeiras, como números de cartões de crédito e códigos de segurança podem ser clonados para a realização de operações fraudulentas. Números de Seguro Social, endereços residenciais, nomes completos, datas de nascimento e outras informações pessoais identificáveis, podem ser utilizadas para roubo de identidade, mas quando falamos de informações médicas, os motivos para o roubo não são tão claros.
Informações médicas podem incluir condições de saúdes do passado e presente, prescrições de remédios, registros hospitalares, detalhes de seguro e plano de saúde, além de credenciais médicas de contas online.
Nos últimos anos, a SingHealth de Cingapura, maior conglomerado de instituições de saúde desse país, sofreu uma violação de dados que acarretou no vazamento de informações de mais de 1,5 milhão de pacientes, incluindo a do primeiro ministro Lee Hsien Loon e o provedor de faturamento, Atrium Health, que sofreu a exposição de informações de mais de 2,65 milhões de pacientes da empresa, e apenas na semana passada, os dados de clientes da People Inc,, agência de serviços humanos sem fins lucrativos de Nova York, foram comprometidos.
As informações são encontradas na dark web
De acordo com um novo relatório divulgado nesta última quarta-feira pela Carbon Black, que cita o fato das informações originarem da dark web, quando se trata de informações médicas roubadas, vazadas e falsas, revela apenas como os hackers estão utilizando essas informações para seus próprios fins.
A oferta mais cara disponível no mercado negro é a de empresas da área da saúde que possuem informações que poderiam ser utilizadas para forjar um histórico médico. É uma perspectiva alarmante, dado o dano que poderia ser causado por alguém que não tenha se qualificado como profissional médico.
Isso inclui documentos de seguro, diplomas médicos, licenças médicas e licenças da DEA (Agência americana de combate ao narcotráfico), que podem ser compradas por cerca de 500 dólares por anúncio
O relatório diz:
Um hacker compromete a rede corporativa de uma empresa da área médica para encontrar qualquer documentação administrativa que possa ajuda-lo na criação de uma identidade falsa de um médico. Ele então vende esta informação a um comprador ou intermediário (que depois vende ao comprador) por um preço alto o suficiente para garantir um retorno do investimento, mas baixo o suficiente para garantir que várias pessoas comprem o item.O comprador utiliza a identidade roubada, e quando necessário, envia informações à Medicare ou qualquer empresa de plano de saúde que ofereça suporte a cirurgias complexas.
Diz o relatório.
A Carbon Black também encontrou uma vasta gama de falsificações disponíveis para venda. Por entre 10 a 120 dólares por anúncio, você pode comprar prescrições médicas, remédios, recibos de venda e cartões de planos de saúde roubados.
Por 3,25 dólares ou menos, os pesquisadores da Carbon Black consultaram informações sobre planos de saúde que poderiam ser utilizados para fazer falsas alegações, com o custo sendo da vítima.
Informações pessoais de saúde X Informações pessoais identificáveis
Quando se trata de informações pessoais de saúde, das quais existem muitas disponíveis para venda online, a empresa diz que esses registros podem valer até três vezes mais que as informações pessoais identificáveis padrão (PII), dada a sua imutabilidade.
A PHI (iniciais para Protected Health Information, ou Informação de Saúde Protegida) quando hackeada, pode ser utilizada por estados-nação contra indivíduos que possuem problemas de saúde, como um método de extorsão ou comprometimento.
Carbon Black
O relatório também inclui uma pesquisa baseada em entrevistas com vários CISOs e organizações da área de saúde. 66% das organizações disseram que os ataque cibernéticos se tornaram mais sofisticados no ano passado, e além do roubo de dados, 45% das empresas disseram ter encontrado evidências de ataques com foco da destruição de informações nos últimos 12 meses.
“Na área da saúde, a prevenção costuma ser a melhor cura”, relata a empresa Carbon Black. “Isso vale para a saúde física e digital. A saúde digital (e muitas vezes a física) de uma pessoa pode estar diretamente ligada à postura de segurança cibernética dos profissionais de saúde”.
Fonte: zdnet.