Gigante Pfizer vaza informações de prescrição de clientes, transcrições de chamadas
Centenas de pacientes médicos que tomam medicamentos contra o câncer, Premarin, Lyrica e mais estão agora vulneráveis a phishing, malware e fraude de identidade.
A gigante farmacêutica Pfizer vazou dados médicos privados de usuários de medicamentos prescritos nos Estados Unidos por meses ou até anos, graças a um balde de armazenamento em nuvem desprotegido do Google.
Os dados expostos incluem transcrições de chamadas telefônicas e informações de identificação pessoal (PII), de acordo com a equipe de pesquisa de segurança cibernética da vpnMentor. As vítimas incluem pessoas que usam medicamentos como Lyrica, Chantix, Viagra, medicamento para menopausa Premarin e tratamentos de câncer, como Aromasin, Depo-Medrol e Ibrance. Algumas das transcrições estavam relacionadas a conversas sobre Advil, que é fabricado pela Pfizer em uma joint venture com a GlaxoSmithKline.
“Inicialmente, suspeitamos que o balde mal configurado estava relacionado a apenas uma das marcas de medicamentos expostas”, explicaram os pesquisadores. “No entanto, após uma investigação mais aprofundada, encontramos arquivos e entradas conectadas a várias marcas de propriedade da Pfizer. Por fim, nossa equipe concluiu que o balde provavelmente pertencia à Unidade de Segurança de Medicamentos (DSU) da empresa. ”
As PII incluem nomes completos, endereços residenciais, endereços de e-mail, números de telefone e detalhes parciais de saúde e estado médico, observou o vpnMentor. Mas talvez mais preocupantes sejam as transcrições, que estão relacionadas ao sistema automatizado de atendimento ao cliente da Pfizer.
A empresa capturou conversas com clientes ligando para o suporte ao cliente de resposta de voz interativa (IVR) da empresa perguntando sobre recargas, efeitos colaterais e similares.
“A pasta que contém as transcrições foi denominada ‘escalações’, sugerindo que faziam parte de um processo interno automatizado de gerenciamento de consultas e reclamações de clientes”, de acordo com uma postagem do blog vpnMentor na terça . “Também revisamos as transcrições nas quais a conversa foi ‘escalada’ para agentes humanos de suporte ao cliente. Parece que esses agentes eram enfermeiras registradas que representam a Pfizer em questões relacionadas às suas marcas farmacêuticas. ”
Centenas de pessoas foram expostas, com algumas das informações datando de outubro de 2018. Os pesquisadores descobriram o balde aberto para a internet (sem a necessidade de senhas ou nomes de usuário) em julho. Depois de várias tentativas de contato com a empresa, o balde foi finalmente tornado privado em 23 de setembro.
“Demorou dois meses, mas finalmente recebemos uma resposta da empresa”, de acordo com vpnMentor. “Quando eles finalmente responderam, tudo o que recebemos foi a seguinte declaração: ‘Pelo URL que você forneceu, não consegui ver como são dados importantes da Pfizer (ou mesmo dados importantes).’ Esta foi uma resposta surpreendente de uma das maiores empresas do mundo. ”
Depois de compartilhar um arquivo com uma amostra de dados PII dos clientes com a empresa, o balde foi protegido, mas a vpnMentor não recebeu mais comunicações da Pfizer, disse.
Quando o Threatpost entrou em contato com a gigante das drogas para comentar, um porta-voz disse: “A Pfizer está ciente de que um pequeno número de registros de dados não pertencentes ao HIPAA em um sistema operado por um fornecedor usado para feedback sobre medicamentos existentes foram inadvertidamente disponíveis ao público. Levamos a privacidade e os comentários sobre o produto muito a sério. Para esse fim, quando tomamos conhecimento desse evento, garantimos que o fornecedor corrigiu o problema e que notificações em conformidade com as leis aplicáveis serão enviadas aos indivíduos. ”
Sem receita para ciberhealth
Há uma variedade de ataques que os cibercriminosos poderiam realizar se tivessem acesso às informações. Não está claro por quanto tempo o balde ficou exposto e não há como saber se tipos nefastos mergulharam nele.
Por um lado, os hackers podem montar campanhas de phishing altamente convincentes usando uma combinação de PII e os detalhes das prescrições médicas que os alvos estão tomando.
“Os hackers podiam facilmente enganar as vítimas aparecendo como o departamento de suporte ao cliente da Pfizer e referenciando as conversas que aconteciam nas transcrições”, explicaram os pesquisadores da vpnMentor.
Eles acrescentaram: “Por exemplo, muitas pessoas estavam perguntando sobre refis de receitas e outras perguntas. Tais circunstâncias dão aos cibercriminosos uma grande oportunidade de se passarem por Pfizer e solicitar os detalhes do cartão para prosseguir com as recargas ”.
Os invasores também podem usar os dados para roubar informações adicionais sobre um paciente, como seu endereço residencial, e roubar completamente a identidade da pessoa. Eles podem sequestrar refis de prescrição ou, no pior caso, “destruir o bem-estar financeiro de uma pessoa e criar enormes dificuldades em suas vidas pessoais”.
E depois há o aspecto do malware. Um link malicioso em um e-mail convincente pode levar à execução de malware no dispositivo do usuário, o que, por sua vez, pode comprometer toda a rede à qual o dispositivo está conectado.
Pesquisadores do vpmMentor também apontaram as potenciais ramificações de segurança física da exposição.
“Há uma grande probabilidade de que as pessoas expostas nessas transcrições estejam passando por problemas de saúde, física e emocionalmente”, de acordo com o relatório. “Um dos medicamentos referenciados, o Lyrica, é usado no tratamento de transtornos de ansiedade, enquanto outros, como o Ibrance e o Aromasin, são usados no tratamento do câncer. No momento da violação de dados, o coronavírus ainda estava surgindo nos EUA. Se os cibercriminosos tivessem roubado ou fraudado alguém tomando medicamentos para ansiedade de qualquer forma, o impacto potencial em sua saúde mental seria incomensurável e impossível de subestimar. ”
Configurações erradas da nuvem excessiva
Uma porcentagem muito grande de bancos de dados em nuvem contendo informações altamente confidenciais está disponível publicamente, revelou uma análise em setembro . O estudo da Comparitch mostrou que 6 por cento de todos os intervalos do Google Cloud estão configurados incorretamente e abertos à Internet pública, para que qualquer pessoa acesse seu conteúdo.
E 2020, de fato, teve sua cota de incidentes de alto perfil. Na semana passada, a Broadvoice, um provedor de VoIP conhecido que atende a pequenas e médias empresas, revelou ter vazado mais de 350 milhões de registros de clientes relacionados ao pacote de comunicações em nuvem “b-hive” da empresa.
Entre outros incidentes neste outono, cerca de 100.000 clientes da Razer, fornecedora de equipamentos de jogos de última geração que vão de laptops a roupas, tiveram suas informações privadas expostas por meio de um servidor Elasticsearch mal configurado. E, um servidor Elasticsearch mal configurado, de propriedade da Mailfire, afetando 70 sites de namoro e e-commerce foi encontrado vazando PII e detalhes como preferências românticas. Além disso, o braço galês do Serviço Nacional de Saúde do Reino Unido anunciou que PII para residentes galeses que tiveram teste positivo para COVID-19 foram expostos por meio de um upload em nuvem pública.
Fonte: https://threatpost.com/pharma-pfizer-leaks-prescription-call-transcripts/160354/