Uma falha num dos programas mais usados para ver imagens médicas permite roubar, com um único link, a chave de acesso do médico que está a olhar para os teus exames. Não é preciso arrombar o hospital nem forçar palavra-passe nenhuma, basta que um clínico autenticado clique no sítio errado.
O programa chama-se OHIF, um visualizador de imagem médica de código aberto que hospitais, clínicas e centros de investigação usam para abrir raios-X, tomografias e ressonâncias no navegador. É gratuito, é a referência da área e serve de base a produtos comerciais. E é agora um bom exemplo de uma verdade incómoda: na saúde, a joia da coroa não é o teu processo clínico, é a credencial de quem lhe acede.
Quem rouba a senha certa não precisa de invadir nada, entra pela porta da frente com a farda de quem já lá trabalha. Em Portugal, isto já deixou de ser hipótese.
Como um clique entrega a chave
A falha tem nome de código, CVE-2026-12473, e uma gravidade de 8,2 em 10 na escala usada para classificar vulnerabilidades. É do tipo SSRF, uma falha que engana o próprio sistema a ir buscar conteúdo a um endereço escolhido pelo atacante. No OHIF, duas fontes de dados que vêm ligadas de origem aceitam um endereço qualquer sem o validar, e há um agravante: o sistema, a tentar ser útil, agarra automaticamente no token do médico, a chave temporária que prova que ele está autenticado, e envia-a junto com o pedido. Se esse pedido vai parar ao servidor do atacante, a chave vai com ele, e um estranho passa a ver o que o médico vê: as imagens dos doentes e o arquivo onde estão guardadas.
A falha afeta as versões até à 3.12.0 e foi corrigida na 3.12.2, publicada a 18 de maio. Segundo a CISA, a agência de cibersegurança dos Estados Unidos que emitiu o alerta a 25 de junho, ainda não há sinais de que esteja a ser explorada. É o momento certo para tapar o buraco, antes de alguém o encontrar.
Portugal já viveu o que vem a seguir
Porque quando alguém encontra, já sabemos o que acontece. Em maio, a Polícia Judiciária investigou o acesso indevido aos registos de saúde de mais de cem mil utentes do Serviço Nacional de Saúde, adultos e crianças, de todo o país. O caminho não foi uma falha de software, foi o uso abusivo das credenciais de um médico, aproveitadas por terceiros. A Judiciária admitiu publicamente que o volume extraído em tão pouco tempo aponta para o recurso a inteligência artificial, uma recolha que «há poucos meses levaria três meses». São casos diferentes, mas a lição é a mesma: quando a chave de um clínico cai nas mãos erradas, o estrago mede-se em centenas de milhares de pessoas.
É aqui que a falha do OHIF pesa mais do que a pontuação sugere. Tratamos o visualizador de imagem como canalização inofensiva, uma janela para ver ficheiros, mas essa janela guarda a chave-mestra. Um sistema de saúde é tão seguro quanto o elo mais distraído da sua cadeia, e esse elo costuma ser um profissional sobrecarregado a clicar num link entre duas consultas. A defesa séria não é pedir-lhe que nunca erre, é desenhar os sistemas a contar que ele vai errar.
Como se fecha a porta
Para quem gere sistemas de saúde:
- Atualizar o OHIF para a versão 3.12.2 sem esperar pela próxima janela de manutenção.
- Remover as fontes de dados ligadas de origem que não são usadas e limitar os endereços a que o sistema pode ir buscar conteúdo.
- Exigir autenticação resistente a mensagens-isca (phishing), para que uma chave roubada não baste, sozinha, para entrar.
- Registar e vigiar os acessos: cem mil registos consultados em dias deviam ter disparado um alarme.
Do outro lado da consulta, do teu lado:
- Tens o direito de saber se os teus dados foram acedidos, e de o perguntar. A lei protege a informação de saúde acima de quase tudo.
- Desconfia de mensagens que peçam para clicar «para ver um resultado» ou «confirmar a tua identidade», mesmo quando parecem vir da saúde.
A imagem do teu exame pode estar perfeitamente guardada. A pergunta que importa é outra: quem tem a chave, e quantos cliques a separam de um estranho.
Fontes: CISA, HIPAA Journal, Renascença.
#StaySafe
🙏🖖