Em novembro foi descoberto um bug na aplicação Modefer, que gere cerca de 1.500 pacientes por mês do Serviço Nacional de Saúde (NHS) do Reino Unido. A falha do software deixou os dados dos pacientes vulneráveis a ataques de hackers, refere a BBC e segundo o engenheiro de software que a descobriu, esta existe pelo menos há seis anos.

A Modefer diz que não tem provas de que a vulnerabilidade exista há tanto tempo e avança que os dados dos pacientes não foram comprometidos. Dias depois da descoberta o bug foi corrigido, garante a empresa. Um porta-voz do NHS disse que estava a anotar as preocupações levantadas sobre a Medefer e irá tomar as ações necessárias.

Foi explicado que o sistema da Medefer permite aos pacientes fazer marcações virtuais com os médicos, que têm acesso aos dados clínicos associados. O engenheiro que descobriu a vulnerabilidade disse que as APIs utilizadas da Medefer não estavam devidamente seguros, podendo ser acedidos por terceiros mal-intencionados e ver as informações dos pacientes.

O engenheiro acusa ainda a Medefer de não tomar as providencias adequadas assim que se soube da vulnerabilidade. “Trabalhei em organizações onde se algo assim acontecesse, todo o sistema seria desligado imediatamente”. E aponta que deveria ter sido chamado um especialista de cibersegurança externo para investigar o problema, algo que a Medefer não fez.

Por outro lado, a empresa diz que uma agência de segurança externa analisou o problema e que os dados estão em segurança. A confirmação foi adiantada pelo fundador da empresa, Bahman Nedjat-Shokouhi, referindo que a correção foi lançada em 48 horas após descoberta a vulnerabilidade. E aponta ainda que é falsa a alegação de que o bug deu acesso a quantidades elevadas de dados dos pacientes. “Levamos os nossos deveres com os pacientes e a NHS muito seriamente. Temos auditorias externas de segurança regulares aos nossos sistemas, em várias ocasiões anualmente”.

Pelo facto da Medefer lidar com dados altamente sensíveis dos pacientes, como é o caso da informação médica, especialistas em cibersegurança que analisaram o caso apresentado pelo engenheiro de software, apontam que os dados da NHS não estavam seguros como deveriam e que deveriam ter sido chamados imediatamente técnicos de cibersegurança externos para aferir a dimensão do problema.