O estado americano de Nebraska decidiu tomar uma postura firme ao processar a gigante da tecnologia médica Change Healthcare. O processo, que foi protocolado esta semana, detalha uma série de falhas de segurança que culminaram em uma violação histórica de dados, expondo informações sensíveis sobre a saúde de pelo menos 100 milhões de americanos. Com uma abrangência e magnitude tão significativas, a questão levanta preocupações graves sobre a proteção dos dados pessoais na era digital, especialmente em um setor tão crítico quanto a saúde.
O procurador-geral de Nebraska, Mike Hilgers, argumenta na ação que a Change Healthcare, que pertence à UnitedHealth, não implementou as medidas de segurança adequadas, o que, segundo ele, contribuiu para o que descreve como uma violação de dados “histórica”. O processo é um desdobramento de eventos revelados em outubro, quando foi confirmado que a violação, ocorrida durante um ataque de ransomware em fevereiro, comprometeu dados pessoais sensíveis de milhões de cidadãos americanos, incluindo informações como endereços, números de telefone, diagnósticos, medicamentos, planos de tratamento e dados financeiros. A expectativa é que o número total de indivíduos afetados seja maior do que 100 milhões, uma estatística alarmante que, se confirmada, se torna um dos maiores incidentes de violação de dados na história dos Estados Unidos.
Hilgers destacou em sua queixa que as “falhas em implementar proteções básicas de segurança” por parte da Change Healthcare exacerbaram a extensão do ciberataque, que foi atribuído ao grupo de ransomware ALPHV, conhecido por suas táticas agressivas e sofisticadas. A queixa menciona que a gigante da tecnologia médica operava sistemas de TI mal segmentados, permitindo que os hackers navegassem livremente entre os servidores. Além disso, a falta de autenticação multifatorial nas plataformas significou que os sistemas poderiam ser acessados apenas com um nome de usuário e senha, como demonstrado no ataque.
Outro aspecto chocante revelado na denúncia foi como os hackers conseguiram acessar a rede da Change Healthcare. De acordo com Hilgers, o acesso foi obtido utilizando as credenciais de um “empregado de suporte ao cliente de baixo escalão”, cuja informação foi postada em um grupo no Telegram conhecido por comercializar credenciais roubadas. Com esse acesso de nível básico, os invasores conseguiram penetrar no servidor que hospedava a aplicação de gerenciamento de medicamentos da Change, chamada SelectRX. A partir daí, eles criaram contas privilegiadas com capacidades de administrador, incluindo a habilidade de acessar e deletar todos os arquivos.
O processo detalha que, durante mais de nove dias, os hackers navegaram pelos sistemas da Change sem serem detectados, criando contas de administrador, instalando malware e extraindo terabytes de dados sensíveis. O ataque só foi detectado quando arquivos foram criptografados, levando a empresa a perder o acesso às suas próprias informações. Essa falta de proteção e vigilância é de extrema preocupação, especialmente em um setor em que a privacidade e a segurança dos dados pessoais são cruciais.
Além das falhas em segurança, o procurador-geral também responsabiliza a Change Healthcare por sua alegada falta de notificação aos indivíduos afetados pela violação, que, segundo ele, impactou pelo menos 575.000 habitantes de Nebraska. Hilgers afirma que o estado teve que publicar seu próprio aviso alertando os residentes sobre a violação, uma vez que a Change Healthcare não havia informando as vítimas até cerca de cinco meses após o ciberataque. “Até a data desta denúncia, o Estado de Nebraska acredita que os Réus ainda falharam em fornecer aviso por escrito a muitos Nebrasquenses afetados pela violação, deixando os cidadãos mais vulneráveis à exploração de informações pessoais financeiras, de saúde e de identidade”, afirma a queixa.
O procurador-geral de Nebraska está solicitando ao tribunal que ordene que a Change Healthcare pague indenizações “pelo dano causado aos residentes e prestadores de serviços de saúde de Nebraska”, que se viram obrigados a prestar cuidados sem receber o pagamento seguro pelos serviços prestados. Além disso, a violação teve um impacto operacional amplo, deixando pacientes sem acesso a medicamentos e tratamentos necessários, provocando ainda mais dor e sofrimento em um momento em que a saúde pública é uma prioridade essencial em meio a desafios globais.
Em resposta ao processo, a porta-voz da UnitedHealth, Katherine Wojtecki, declarou ao TechCrunch que “acreditamos que este processo não tem mérito e pretendemos nos defender vigorosamente”. A empresa reafirmou em seu comunicado o que já havia declarado em julho, de que a análise dos dados roubados pela Change Healthcare estava “em suas etapas finais”. Este caso está longe de ser resolvido e levanta questões prementes sobre a privatização da saúde e as implicações de segurança em um mundo cada vez mais digitalizado.
À medida que as investigações continuam e o processo judicial avança, muitos se perguntam: como podemos garantir que os dados dos cidadãos estejam mais seguros e menos vulneráveis a tais ataques no futuro? O desafio está lançado, não apenas à Change Healthcare, mas a todas as empresas que tratam com informações pessoais sensíveis.