HomePtNotíciaEmpresa de software médico multada em € 1,5 milhão por vazar dados...

Empresa de software médico multada em € 1,5 milhão por vazar dados de 490 mil pacientes


A autoridade francesa de proteção de dados (CNIL) multou o provedor de software médico Dedalus Biology em € 1,5 milhão por violar três artigos do GDPR (Regulamento Geral de Proteção de Dados).

A Dedalus Biology presta serviços a milhares de laboratórios médicos no país e a multa é por expor detalhes sensíveis de 491.939 pacientes de 28 laboratórios.

O banco de dados vazou online e revelou os seguintes detalhes do paciente:

  • Nome completo
  • Número da Segurança Social
  • Nome do médico prescritor
  • data do exame
  • Informações médicas como status de HIV, câncer, doenças genéticas, gravidez, tratamentos, etc.
  • Informação genética (em alguns casos)

Essas informações foram amplamente compartilhadas na internet, colocando os clientes da Dedalus Biology em risco de engenharia social, phishing, fraude e até chantagem.

Os primeiros sinais do vazamento do banco de dados apareceram em março de 2020, com a ANSSI emitindo um alerta relacionado a um dos laboratórios expostos em novembro de 2020.

Em fevereiro de 2021, a revista francesa ZATAZ localizou uma venda do conjunto de dados específico na dark web e confirmou que as informações eram válidas.

Dados vazados colocados à venda na dark web
Dados vazados vendidos na dark web (ZATAZ)

Detalhes da penalidade

A Dedalus Biology violou o artigo 29 da lei GDPR, que é o descumprimento das instruções do controlador. Mais especificamente, durante a migração de software de um fornecedor diferente, a pedido de dois laboratórios médicos, a Dedalus extraiu mais informações do que o necessário.

A segunda violação diz respeito ao artigo 32 do GDPR, que responsabiliza os processadores de dados por não protegerem as informações. A investigação da CNIL encontrou as seguintes falhas associadas:

  • falta de procedimento específico para operações de migração de dados;
  • falta de criptografia de dados pessoais armazenados no servidor problemático;
  • nenhuma exclusão automática de dados após a migração para outro software;
  • falta de autenticação necessária da Internet para acessar a área pública do servidor;
  • uso de contas de usuário compartilhadas entre vários funcionários na zona privada do servidor;
  • ausência de procedimento de monitoramento e escalonamento de alertas de segurança no servidor.

O artigo terceiro do RGPD infringido é o número 28, que inclui a obrigatoriedade de concessão de contrato formal ou ato jurídico para o tratamento de dados por conta dos responsáveis ​​(laboratórios).

Para as violações acima, o CNIL decidiu impor uma multa de 1,5 milhão de euros (US$ 1,58 milhão), calculada como 10% da receita anual da empresa.

Embora a Dedalus esperasse receber uma sanção mais branda com base em sua vontade de colaborar com os investigadores da CNIL, o escritório de proteção de dados observou que a empresa não tomou medidas para limitar a disseminação dos dados vazados online, portanto, não havia fundamento para reconhecer fatores paliativos.

A BleepingComputer entrou em contato com a Dedalus Biology para comentar a decisão da CNIL, mas não tivemos notícias da empresa no momento em que este artigo foi publicado.

um caso semelhante

Enquanto isso, o CNIL está investigando outro caso que expôs as informações confidenciais de seguro de saúde de 510.000 franceses, relatadas pela seguradora L’Assurance Maladie.

De acordo com detalhes divulgados pela empresa, 19 médicos que usavam seu portal de informações on-line foram vítimas de uma campanha de phishing, que essencialmente deu aos hackers acesso a informações confidenciais de pacientes.

Como resultado dessa violação, nomes completos, datas de nascimento, sexo, CPF e dados relacionados a direitos de seguro foram comprometidos.

Must Read

%d bloggers like this: