Datenleck bei Unimed: 14 Millionen sensible Nachrichten zwischen Patienten und Ärzten offengelegt
Unimed, Brasiliens größter Gesundheitsanbieter, musste nach Sicherheitsvorfall reagieren
Ein gravierendes Datenleck bei der brasilianischen Gesundheitsgenossenschaft Unimed hat Millionen sensibler Nachrichten von Patienten mit Ärzten und dem Chatbot „Sara“ offenbart. Betroffen waren rund 14 Millionen über eine ungesicherte Kafka-Instanz übertragene Nachrichten, darunter Bilder, Dokumente und persönliche Gesundheitsinformationen.
Das Cybersecurity-Team von Cybernews entdeckte die ungesicherte Kafka-Datenpipeline, eine Open-Source-Plattform für Echtzeit-Datenübertragung, die von Unimed betrieben wurde. Aufgrund fehlender Sicherheitsvorkehrungen waren die Daten öffentlich zugänglich und konnten von Dritten abgefangen werden.
Unimed zählt mit etwa 15 Millionen Kunden zu den größten Gesundheitsanbietern in Brasilien.
Die Forscher warnen, dass die offengelegten Informationen für Identitätsdiebstahl, medizinischen und finanziellen Betrug, Phishing-Angriffe und Diskriminierung missbraucht werden könnten. Besonders sensibel ist die Offenlegung medizinischer Daten, die in Datenschutzgesetzen wie der brasilianischen LGPD und der europäischen DSGVO einen besonders geschützten Status genießen.
Unimed gab an, den „isolierten Vorfall“ bereits im März erkannt und die Sicherheitslücke geschlossen zu haben. Das Unternehmen betont, dass bisher keine Hinweise auf Datenabfluss vorliegen und eine umfassende Untersuchung weiterläuft. Die Reaktion erfolgte jedoch erst nach Veröffentlichung des Lecks durch die Sicherheitsforscher.
