Uma violação de dados em larga escala atingiu hospitais universitários da Alemanha após hackers comprometerem a infraestrutura da Unimed, empresa terceirizada responsável pelo processamento de faturamento de pacientes privados e particulares para diversas instituições médicas do país. O incidente expôs informações pessoais, dados administrativos e, em alguns casos, informações médicas sensíveis relacionadas a diagnósticos e tratamentos.

De acordo com os hospitais afetados, o ataque ocorreu em meados de abril, mas os detalhes começaram a ser divulgados publicamente apenas agora. As instituições afirmaram que seus próprios ambientes clínicos e sistemas hospitalares não foram comprometidos, e que o atendimento aos pacientes não sofreu interrupções operacionais.

Entre os hospitais impactados estão os centros universitários de Colônia, Freiburg, Heidelberg, Tübingen, Ulm e Mannheim. A quantidade de vítimas varia conforme cada instituição, indicando que o comprometimento pode ter afetado múltiplas bases de dados mantidas pela prestadora de serviços.

O Hospital Universitário de Colônia informou que quase 30 mil pessoas tiveram dados acessados pelos invasores. Segundo a instituição, os hackers obtiveram nomes, endereços e informações sobre médicos responsáveis pelos atendimentos. Em mais de 840 casos, também houve exposição de informações adicionais relacionadas à saúde, incluindo comunicações trocadas com a empresa de faturamento. Dados bancários e de pagamento foram comprometidos em cinco casos confirmados.

Na região de Baden-Württemberg, outros hospitais também relataram impactos significativos. O Hospital Universitário de Freiburg afirmou que dados pessoais básicos de aproximadamente 54 mil pacientes foram roubados. Em cerca de 900 registros, os invasores também tiveram acesso a informações de faturamento ligadas a diagnósticos ou tratamentos médicos.

Já o Hospital Universitário de Heidelberg informou que aproximadamente 11 mil pacientes foram afetados, incluindo cerca de 2.700 casos nos quais informações de cobrança médica podem ter sido expostas. O Hospital Universitário de Ulm relatou cerca de 1.600 vítimas, sendo aproximadamente 300 casos envolvendo dados de diagnóstico e tratamento.

As instituições explicaram que a Unimed era responsável pelo processamento administrativo e financeiro de pacientes com seguros privados, seguros complementares e pacientes particulares, incluindo estrangeiros atendidos pelos hospitais alemães. Segundo os hospitais, pacientes cobertos exclusivamente pelo sistema público de saúde estatutário da Alemanha, em geral, não foram afetados pelo incidente.

Após a descoberta da invasão, os hospitais interromperam imediatamente a transferência de dados para a prestadora terceirizada. Até o momento, a Unimed não comentou oficialmente o ataque e também não respondeu aos pedidos de esclarecimento feitos pela imprensa internacional.

Ainda não há informações públicas sobre a identidade dos responsáveis pela invasão nem detalhes técnicos sobre a cadeia de ataque utilizada. Nenhum grupo de ransomware ou operação de cibercrime reivindicou autoria do incidente até agora.

Mesmo sem detalhes técnicos divulgados, o caso reforça os riscos associados à cadeia de fornecedores no setor de saúde, especialmente quando empresas terceirizadas processam informações altamente sensíveis relacionadas a faturamento, histórico médico e tratamentos clínicos. Ataques contra prestadores de serviços externos têm sido utilizados com frequência por grupos hackers para ampliar o impacto de comprometimentos sem precisar invadir diretamente os ambientes hospitalares principais.

Além da exposição de dados pessoais, o vazamento de informações médicas pode gerar consequências relevantes para privacidade, reputação e conformidade regulatória, principalmente em países europeus sujeitos às exigências do GDPR, a legislação de proteção de dados da União Europeia.

Alguns hospitais informaram que estudam medidas legais contra a prestadora de serviços. O Hospital Universitário de Heidelberg confirmou que registrou uma denúncia criminal contra autores ainda não identificados.

“Dados de saúde estão entre os dados mais sensíveis que existem. Seu roubo representa uma grave violação dos direitos das pessoas afetadas”, afirmou Frederik Wenz, diretor médico do Hospital Universitário de Freiburg.