Dados de pacientes cardíacos roubados em ataque à iRhythm; cibercriminoso exige resgate

A iRhythm, fabricante do Zio patch, dispositivo de monitoramento cardíaco ambulatorial usado por mais de 12 milhões de pacientes e integrado a sistemas de hospitais e planos de saúde nos EUA, sofreu um ataque por engenharia social que comprometeu dados clínicos sensíveis, não financeiros. O invasor não explorou falhas em dispositivos médicos ou em infraestrutura clínica (como servidores de análise de ECG), mas sim aplicações de negócios terceirizadas, provavelmente CRM, plataformas de suporte ao paciente ou sistemas de faturamento administrativo. Isso é crítico: dados de saúde não protegidos por HIPAA em aplicações de terceiros são alvo fácil para ataques direcionados, especialmente quando combinados com informações públicas de profissionais da saúde ou funcionários da iRhythm.

O vazamento inclui PHI (Protected Health Information) completo: nome, data de nascimento, diagnósticos cardíacos, histórico de uso do Zio patch, resultados de análise de arritmias e possivelmente dados de apps conectados (como integrações com Apple Health ou plataformas de telecardiologia). Diferente de vazamentos genéricos, esse permite ataques de phishing hiperpersonalizados, por exemplo, mensagens que citam o número do seu registro no Zio ou o período exato de gravação do seu último exame. Isso eleva drasticamente a taxa de sucesso de golpes de roubo de credenciais em portais de saúde e fraudes com seguros.

Esse caso não é só sobre privacidade. É sobre risco clínico indireto: se um criminoso acessar seu histórico de arritmia e usar isso para enganar seu cardiologista ou plano de saúde, pode gerar negativa indevida de procedimento, recusa de cobertura ou até erro diagnóstico por confusão com dados falsos inseridos em prontuário eletrônico. Além disso, dados cardíacos têm alto valor no dark web, cerca de US$ 1.000 por registro completo (fonte: relatório Verizon DBIR 2026), quase 10× o preço de um CPF + CPF + endereço. A iRhythm não armazena cartões, mas seus dados permitem construir perfis médicos falsos para solicitar exames, cirurgias ou medicamentos controlados, sem precisar de senha nem token.