Hospitais universitários alemães sofrem vazamento de dados de pacientes após ataque a prestadora de faturamento

Hospitais universitários alemães revelaram um vazamento de larga escala envolvendo dados de pacientes após um ataque cibernético contra a Unimed, prestadora terceirizada de serviços de faturamento. Pelo menos seis instituições, incluindo as universidades de Colônia, Freiburg, Heidelberg, Tübingen, Ulm e Mannheim, confirmaram exposição de informações pessoais e clínicas. Apenas em Colônia e Freiburg, mais de 80 mil pacientes foram afetados.

O que aconteceu

O incidente teve origem em meados de abril, quando agentes ainda não identificados invadiram a infraestrutura da Unimed, empresa responsável por processar faturas e dados administrativos de tratamentos de pacientes com plano privado, seguros suplementares e pacientes particulares. As universidades atendidas só vieram a público com a confirmação nesta quinta-feira, à medida que recebiam os relatórios da prestadora.

Os hospitais reforçaram que sua infraestrutura clínica interna não foi comprometida e que o atendimento aos pacientes não sofreu interrupção. O ataque ficou restrito ao ambiente da Unimed, mas a exposição de dados é significativa justamente por estar concentrada em uma única empresa que centraliza informações vindas de múltiplos centros médicos.

Pacientes vinculados exclusivamente ao sistema público de saúde alemão (statutory public health insurance) não foram, em regra, atingidos pelo vazamento, já que esses fluxos administrativos não passam pela Unimed.

Quem foi afetado

Os números divulgados pelos próprios hospitais já dão a dimensão do incidente, ainda em apuração:

• Hospital Universitário de Colônia: cerca de 30.000 pessoas afetadas. Foram acessados nomes, endereços e informações sobre médicos responsáveis. Em mais de 840 casos, dados adicionais de saúde, incluindo comunicações com a prestadora, também foram expostos. Em cinco casos houve comprometimento de dados bancários e de pagamento.
• Hospital Universitário de Freiburg: aproximadamente 54.000 pacientes com dados pessoais básicos comprometidos e cerca de 900 casos envolvendo informações de faturamento associadas a diagnósticos ou tratamentos.
• Hospital Universitário de Heidelberg: cerca de 11.000 pacientes atingidos, com aproximadamente 2.700 deles tendo também dados de faturamento expostos.
• Hospital Universitário de Ulm: cerca de 1.600 pacientes afetados, incluindo aproximadamente 300 casos com informações sobre diagnóstico e tratamento.

Reação dos hospitais

As instituições suspenderam imediatamente as transferências de dados para a Unimed enquanto aguardam esclarecimentos. Até o momento, a prestadora não se pronunciou publicamente e não respondeu aos pedidos de comentário da imprensa. Também não foi divulgada a natureza exata do ataque, e nenhum grupo de ransomware ou ator de ameaça assumiu responsabilidade.

Vários hospitais já sinalizaram que avaliam medidas judiciais contra a empresa. O Hospital Universitário de Heidelberg foi adiante e registrou queixa-crime contra pessoas desconhecidas, abrindo espaço para investigação formal pelas autoridades alemãs.

“Dados de saúde estão entre os mais sensíveis que existem. Seu roubo é uma violação grave dos direitos dos afetados”, afirmou Frederik Wenz, diretor médico do Hospital Universitário de Freiburg.

Análise

O incidente da Unimed é mais um capítulo de uma tendência clara: o setor de saúde europeu vem absorvendo, há pelo menos três anos, uma sequência crescente de ataques que atingem fornecedores em vez dos hospitais diretamente. O padrão se repete porque concentra retorno alto com superfície baixa — uma única empresa de faturamento ou de telerradiologia pode dar ao invasor acesso, num só golpe, ao mesmo volume de dados que ele obteria atacando dezenas de instituições isoladamente. Foi assim em casos britânicos envolvendo o NHS e prestadores de patologia, em incidentes na França contra empresas de gestão de protocolos clínicos e em vazamentos recentes na Itália que atingiram redes regionais de saúde.

Outro elemento que merece atenção é o silêncio dos atacantes. A ausência de reivindicação pública não significa ausência de monetização: dados clínicos privados costumam ser direcionados a mercados específicos — fraudes contra seguros, extorsão direta a pacientes de alta visibilidade, ou venda segmentada por diagnóstico. Esse modelo “low profile” também sugere a possibilidade de exfiltração sem ransomware, o que torna o aviso público mais lento e dificulta a resposta. A LGPD europeia (GDPR) deverá motivar investigações tanto contra a Unimed quanto, possivelmente, contra os hospitais por sua diligência sobre o fornecedor.

Recomendações práticas

• Para organizações de saúde: revisar inventário de terceiros que acessam ou armazenam dados de pacientes, exigindo evidências atualizadas de controles de segurança e direito de auditoria contratual.
• Estabelecer cláusulas obrigatórias de notificação rápida de incidentes em contratos com prestadores (idealmente em até 24h) e exigir relatórios técnicos com IOCs.
• Adotar segmentação de rede e princípio de menor privilégio em integrações com fornecedores; nunca permitir conexões persistentes amplas a sistemas core sem necessidade comprovada.
• Habilitar logging detalhado e retenção estendida nas APIs que recebem dados dos terceiros, facilitando triagem retroativa quando vazamentos forem divulgados.
• Para pacientes: monitorar comunicações em nome do hospital, desconfiando de pedidos de pagamento, dados bancários ou senhas — agentes maliciosos costumam usar o contexto do vazamento para campanhas dirigidas de phishing.
• Para gestores de risco: avaliar a inclusão de cobertura de cyber em relacionamentos contratuais com prestadores críticos e simular periodicamente o impacto de um incidente em fornecedor único.

Fonte: The Record