A startup de saúde Mevo teve brechas que permitiram o vazamento de receitas médicas de pacientes com dados pessoais. No fim do mês passado, qualquer pessoa conseguia acessar prescrições de pacientes que haviam usado a plataforma.
Conhecida como Idor, sigla para Insecure Direct Object Reference, a falha pode ser executada mudando os últimos números do link para acessar algum documento.
Entre os dados pessoais de pacientes acessíveis em receitas médicas, havia nomes, CPFs e endereços, além dos medicamentos usados. As receitas incluíam prescrições de diversos hospitais e consultórios privados, a exemplo do Hospital do Coração e do Grupo NotreDame Intermédica, que se fundiu à Hapvida recentemente. Remédios psiquiátricos também constavam dos documentos.
A Mevo foi fundada em 2017 como Nexodata e mudou de nome para Mevo em 2022. A startup, que atraiu investidores como Jorge Paulo Lemann e Guilherme Benchimol, da XP, oferece receita digital e a entrega dos remédios na casa dos pacientes.
Procurada, a Mevo afirmou que um sistema interno da empresa foi acessado sem autorização, o que gerou uma entrada indevida a seis receitas médicas. “No momento em que foi identificado, o problema foi imediatamente sanado, sem prejuízo a nenhum parceiro, médicos e/ou pacientes”, disse a companhia, acrescentando que “segue os mais rigorosos protocolos de segurança cibernética”.
