Através de um ataque de ransomware que ocorreu no início deste ano, a Change Healthcare, empresa de tecnologia de saúde pertencente à UnitedHealth, se tornou o epicentro de um dos vazamentos de dados mais significativos da história dos Estados Unidos. Atendendo milhares de hospitais e estabelecimentos médicos, a Change Healthcare não só processa informações críticas de cobrança e seguros, mas também acumula uma quantidade imensa de dados sensíveis sobre pacientes. Com mais de 100 milhões de pessoas agora confirmadas como afetadas, o incidente gerou um alvoroço no setor da saúde.
Um olhar mais atento para o ataque: o desenrolar da crise
No dia 21 de fevereiro de 2024, um dia que começou como qualquer outro, transformou-se em um pesadelo. As notificações de falhas no sistema começaram a aparecer em todo o site da Change Healthcare, à medida que práticas médicas e consultórios lutavam para processar cobranças e verificar seguros. Foi revelado que um intruso havia penetrado nas defesas da companhia, o que levou a um apagão total da rede na tentativa de conter a infiltração. As investigações mostraram que os hackers haviam invadido os sistemas dias antes, em torno de 12 de fevereiro.
O ataque realmente tomou forma nas semanas que se seguiram, culminando em 29 de fevereiro, quando a UnitedHealth confirmou que uma gangue de ransomware estava por trás do ataque. O grupo, que se apresentou como ALPHV/BlackCat, era conhecido por suas táticas de extorsão. Com o vazamento de informações no dark web, ficou claro que milhões de dados sensibles dos cidadãos americanos haviam sido comprometidos.
A resposta da UnitedHealth e os desdobramentos
Na sequência, as ações da UnitedHealth culminaram na decisão de pagar um resgate de $22 milhões para tentar garantir a recuperação dos dados. No início de março, contudo, a gangue desapareceu, levando a suspeitas de uma possível fraude. Em declaração, o grupo afirmou que os dados ainda estavam sob seu controle, mesmo após ter recebido o pagamento.
A situação se agravou até o dia 13 de março, quando um caos se estabeleceu no sistema de saúde dos EUA. Milhões de pacientes enfrentaram dificuldades para obter prescrições, resultando em grandes repercussões na capacidade das farmácias de atender a demanda. Em resposta ao alvoroço gerado, a American Medical Association manifestou preocupação com a falta de informação proveniente da UnitedHealth sobre os desdobramentos do incidente.
O governo dos Estados Unidos, percebendo a magnitude da situação, decidiu intervir ao aumentar a recompensa para informações sobre os líderes do grupo ALPHV, oferecendo $10 milhões. Paralelamente, um novo grupo de extorsão chamado RansomHub foi formado por um ex-afiliado da gangue, que exigia um novo resgate à UnitedHealth.
Confirmações chocantes e consequências de longo prazo
No dia 22 de abril, a UnitedHealth confirmou oficialmente que a violação de dados afetou uma “proporção substancial do povo americano”, que, com base nas operações da Change Healthcare, poderiam facilmente ultrapassar a marca de 100 milhões de afetados. Dados sensíveis, como registros médicos, diagnósticos, e informações financeiras, estavam todos potencialmente comprometidos. A magnitude do vazamento fez com que a preocupação com a privacidade e segurança dos dados emergisse como uma questão primordial.
A situação se complicou ainda mais em maio, quando Andrew Witty, CEO da UnitedHealth Group, depôs diante do Congresso, reconhecendo que a violação, em grande parte, foi atribuída à insegurança em suas práticas de cibersegurança. Um único conjunto de credenciais de um funcionário foi identificado como a porta de entrada dos hackers, além da ausência de autenticação em múltiplos fatores.
Finalmente, em 24 de outubro de 2024, a UnitedHealth confirmou oficialmente que “pelo menos 100 milhões de pessoas” tiveram os dados comprometidos, tornando este o maior incidente de roubo de registros médicos da história dos EUA. Com a confirmação de que a notificação aos pacientes afetados está em andamento, a Change Healthcare se viu, finalmente, obrigada a responder às exigências legais e morais decorrentes do ataque.
A lição não aprendida e os desafios à frente
À medida que os detalhes sobre o ataque à Change Healthcare continuam a emergir, uma lição clara se destaca: a necessidade de segurança robusta e práticas preventivas apropriadas. Este incidente não só abrange questões de segurança cibernética, mas também evidencia a importância da transparência e da responsabilidade no setor de saúde. Se a pandemia do COVID-19 nos ensinou algo, é que informações de saúde de indivíduos são de valor inestimável e que a confiança deve ser mantida a todo custo.
As consequências desse ataque cibernético têm sido devastadoras, não apenas para a Change Healthcare e sua afiliada UnitedHealth, mas também para os milhões de americanos que agora vivem sob a sombra de suas informações pessoais e de saúde sendo potencialmente expostas e mal utilizadas. Fica a esperança de que, aprenda-se com o incidente, não apenas para prevenir futuros ataques, mas para garantir que a confiança do público nas empresas de saúde seja restaurada.