o colunista

por Cleber Lourenço

O que o brasileiro pensa?
09 de julho de 2020, 15h27

Exclusivo: Falha de segurança em app expõe dados de clientes da Drogaria São Paulo

O aplicativo possui mais de meio milhão de downloads na Play Store e segundo o site da própria empresa, eles atendem mais de 8 milhões de clientes por mês

Integrantes do grupo hacker Dark Army identificados como “n1n3ty” e “K4MIK4Z”, informaram com exclusividade para esta coluna, que uma falha na segurança dos aplicativos da empresa do grupo DPSP – que é dono da Drogaria São Paulo -, expõe dados de usuários para terceiros há pelo menos um ano.

Embora a empresa afirme que os dados sejam apenas para uso interno e que estão em segurança, agora sabemos que isso não é verdade.

A falha no aplicativo mobile “Meu Viva Saúde”, possibilita obter acesso a conta de qualquer cliente apenas inserindo o CPF do usuário e a encaminhado um SMS que volta o token de acesso no response da requisição.

O aplicativo possui mais de meio milhão de downloads na Play Store e segundo o site da própria empresa, eles atendem mais de 8 milhões de clientes por mês.

Segundo os hackers, um ponto interessante que é você pode alterar o prazo de validade dos cupons de desconto que eles disponibilizam neste app que por padrão é de um dia, além de permitir o envio de spam para qualquer usuário no Brasil com inúmeros SMS enviados.

O outro aplicativo da mesma empresa seria uma loja virtual que é possível obter acesso a informações de alguns clientes em um processo que optamos em não revelar com detalhes, mas que ao trocar o campo “client_id” por um “*” retorna uma lista de usuários.

A falha permite também que a sessão deste usuário possa ser “sequestrada” para uso de terceiros. Isso permite saber se o cliente possui algum convênio médico e qual seria.

Segundo a fonte, eles não validam os tokens de sessão na conta do usuário logado e mesmo possuindo serviços de login através de leitura facial e impressão digital, estas camadas de segurança não impedem o acesso de dados dos clientes por terceiros. 

Ainda segundo o relato do hacker “n1n3ty”, que também afirma ser um ex-funcionário da empresa, muitos clientes reclamavam de como eles obtêm, de alguma forma, o registro de seus convênios médicos, alegando que não teriam fornecido essa informação.

Caso empresas de planos de saúde tenham acesso à essas informações, poderiam aumentar o valor de seu plano de saúde pressupondo seu estado de saúde com base nos medicamentos que comprou. Mesmo que não sejam para você.

Ministério Público

Em 2018, a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) iniciou investigação para apurar a prática de coleta de CPFs realizado por farmácias. A suspeita seria de que as drogarias estariam gerando perfis de consumo de cidadãos e possível compartilhamento e/ou venda para parceiros sem a autorização ou ciência dos usuários.

A falha nas aplicações da Drogaria São Paulo permitem que outras pessoas acessem (sem o seu consentimento) informações como: e-mail, telefone, nome completo, CPF, se você faz uso de medicamentos de uso contínuo e até mesmo para qual empresa você trabalha, além de trazer também o seu convênio. Tudo isso somado a falta de transparência da finalidade da coleta de dados nas farmácias.

Já que quando você pergunta o motivo para isso recebe como resposta “é para ganhar desconto pelo seu plano de saúde”.

LGPD

O governo Bolsonaro, inclusive, tentou postergar a entrada em vigor da LGPD com a Medida Provisória 959 que adia a vigência para 3 de maio de 2021.

Porém não há só esse problema, mesmo com a lei entrando em vigor em agosto deste ano, as sanções ficaram apenas para  agosto de 2021.

Além disso, o governo federal também não cumpriu sua parte, já que é missão exclusiva do governo federal criar a Autoridade Nacional de Proteção de Dados conforme consta na PL 1.179/20.

Caso as falhas fossem reportadas em agosto do ano que vem, ambas as empresas poderiam ter que pagar multas que poderão chegar a R$ 50 milhões por cada infração cometida na falha que expôs os dados de milhões de clientes e consumidores.

Em 2019, a IBM em parceria com o Instituto Ponemon, publicou uma série de pesquisas relacionadas à proteção de dados. Os relatórios mostraram que embora o Brasil ocupe a quarta posição em volume de dados vazados por incidente, é também um dos países que menos responsabiliza as empresas que fizeram a má gestão de suas informações.

A cada incidente no Brasil, 26.523 registros de informação foram vazados, atrás apenas do Oriente Médio (38.800), Índia (35.636) e EUA (32.434).

E embora seja o quarto país em quantidade de dados vazados por cliente, ele fica no final da lista (entre os quatro últimos) quando o assunto é a reação dos consumidores.

Além disso o país ainda ocupa a vice-liderança quando o assunto é dias para identificação e contenção incidentes de vazamento de dados e embora tenha uma quantidade de dados vazados menor que os Estados Unidos (32.434), o país ainda leva o dobro de tempo (111 dias) para conter uma falha na segurança.

A coluna entrou em contato com a Drogaria São Paulo, mas até o momento não obteve retorno.


Quantas matérias por dia você lê da Fórum?

Você já pensou nisso? Em quantas vezes por dia você lê conteúdos esclarecedores, sérios, comprometidos com os interesses do povo e a soberania do Brasil e que têm a assinatura da Fórum? Pois então, que tal fazer parte do grupo que apoia este projeto? Que tal contribuir pra que ele fique cada vez maior. Bora lá. Apoie já.

Apoie a Fórum