- Dados de pacientes de saúde estão sendo vendidos na deep web e na dark web, incluindo nomes, exames, documentos pessoais e históricos médicos de brasileiros.
- Os vazamentos costumam ocorrer sem técnicas sofisticadas, por meio de coleta passiva; bots e scanners identificam serviços mal configurados, APIs abertas e bases expostas.
- Frequentemente a origem é fornecedores terceirizados, sistemas legados esquecidos ou ambientes de homologação acessíveis, com poucos minutos de varredura para encontrar informações sensíveis.
- As vítimas geralmente não sabem que tiveram dados comprometidos, e os responsáveis muitas vezes não têm visibilidade do que fica publicado externamente.
- Recomenda-se visibilidade externa contínua, monitoramento de exposições e testes ofensivos para reduzir danos, tratando a superfície digital como parte essencial da operação.
A venda de dados de pacientes na deep web ganhou relevância no setor de saúde brasileiro. Dados como nomes, exames, documentos pessoais e históricos médicos aparecem com frequência, em mercados da deep web e dark web. A prática envolve pouca ou nenhuma agressão tecnológica complexa, dependendo principalmente de exposições já existentes.
A maior parte dos vazamentos decorre de configurações inadequadas e de serviços mal protegidos. Bots e scanners automatizados identificam APIs abertas, bases expostas e sistemas legados. Em minutos, informações sensíveis podem ficar públicas, sem que haja ataques externos sofisticados.
A vulnerabilidade não está apenas na técnica: envolve fornecedores terceirizados, ambientes de homologação expostos e softwares desatualizados. A coleta ocorre de forma constante, levando a credenciais fracas e controles insuficientes sobre o que fica visível na internet.
Riscos reais para pacientes e instituições
As vítimas costumam não saber que seus dados foram comprometidos. Em muitas organizações, poucos têm visibilidade do que está publicado externamente. Enquanto isso, a exposição segue sendo tratada como eventual ou irrelevante, e os dados continuam a ser coletados e vendidos.
Dados expostos alimentam fraudes e engenharia social, mantendo um ciclo de violação contínuo. A superfície digital das organizações de saúde precisa ser tratada como parte da operação, não como detalhe técnico.
Medidas mínimas para redução de danos
Visibilidade externa constante, monitoramento de exposições e testes de segurança são essenciais para reduzir danos. Sem esses controles, o setor corre o risco de perder um ativo extremamente sensível: a privacidade dos pacientes.
Entre na conversa da comunidade