Hapvida de Brasil revela ciber brecha, y posible fuga de datos de clientes

Una violación de seguridad puede haber expuesto datos personales de los clientes de Hapvida, una red de hospitales y clínicas que operan en el noreste, norte y sur de Brasil. Usando un inicio de sesión válido para acceder a los sistemas de usuario de los planes e instalaciones de la
compañía, un atacante podría ver la información de millones de clientes de los planes de la compañía, sin ninguna verificación adicional.

La falla estaba disponible en la plataforma de emisión de boletos de Hapvida. A partir de la visualización de cuentas destinadas a terceros, distintos del responsable del inicio de sesión, se expuso información como nombres completos, CPF, direcciones, montos pagados y planes firmados, solo una manipulación relativamente simple que podría hacerse utilizando un recurso propio de navegadores.

Brazil Safe, un grupo de investigadores independientes de seguridad informó el caso, clasificándolo como de alta gravedad debido a la simplicidad en la exploración, lo que permite el acceso a prácticamente toda la base de clientes de Hapvida. «Un agente criminal que explota esta
vulnerabilidad fácilmente podrá descargar los datos de millones [de usuarios] en poco tiempo, y podrá obtener toda la base en pocos días con el uso de robots y servidores», dijo un informe de los expertos.

Fuerza bruta

Después de iniciar sesión con una cuenta legítima, al ver el código de la plataforma de emisión de palanquilla a través de la opción de inspeccionar el elemento, disponible en cualquier navegador, es posible localizar el número de identificación del contrato del cliente y, en caso de incumplimiento, manipular esa cantidad, teniendo acceso a un contrato de terceros.

A partir de ahí, sería posible ver los resbalones en los nombres de otros clientes de Hapvida sin que el sistema realice verificaciones de identidad adicionales, para garantizar que la información que se ve pertenece, efectivamente, al usuario conectado. Entonces sería suficiente para que un
sistema automatizado pruebe números aleatorios en sucesión y, cuando sea exitoso, descargue la información obtenida en el sistema para componer una base de usuarios de planes de salud y unidades de marca.

Es en las facturas de los usuarios que los ciberdelincuentes pueden extraer información personal y usarla para llevar a cabo fraudes que podrían practicarse incluso en nombre de la propia red, que cuenta con 48 unidades de atención hospitalaria o de emergencia, además de más de 180 clínicas.
y centros de diagnóstico. Al tener información sobre planes, procedimientos, números de contrato y otros datos personales, los delincuentes pueden contactar a los clientes en nombre de Hapvida,
ya sea para solicitar más información o datos financieros, además de solicitar pagos y transferencias en nombre de la empresa.

Además, los especialistas de Brasil Safe destacan otros tipos de fraude, como la filtración o venta de esta información por parte de terceros, el secuestro de la cartera de clientes por parte de la competencia o el uso en nuevos fraudes, no directamente relacionados con Hapvida, pero que utilizan los datos obtenido como método de ingeniería social. La idea es que, al conocer los datos personales de los usuarios, los estafadores puedan dar una apariencia de legitimidad a las solicitudes de registro o solicitudes de pagos falsos.