TriZetto Notifica 3.4 Milhões Sobre Ataque de 2024 Detectado em 2025
Aprofundamento CEVIU
Aprofundamento
A TriZetto Provider Solutions, unidade da Cognizant voltada para software de elegibilidade e reivindicações em saúde, confirmou que atacantes exploraram um portal web de clientes por mais de um ano, de novembro de 2024 até outubro de 2025, sem serem detectados. A falha não foi em um sistema de pagamento ou faturamento, mas em um módulo de relatórios históricos de transações de elegibilidade, usado por provedores para verificar cobertura antes de atendimentos. O acesso indevido expôs dados sensíveis como números de seguro social, identificadores do Medicare, nomes de seguradoras e vínculos familiares entre segurados e dependentes, informações que permitem montar perfis completos para ataques direcionados ou engenharia social em serviços de saúde.
O caso é crítico porque viola a HIPAA nos EUA, já que a TriZetto age como 'business associate' de clínicas e hospitais, o que a obriga a manter controles técnicos e administrativos equivalentes aos dos próprios prestadores. A demora de 13 meses entre a primeira intrusão e a notificação individual (iniciada em fevereiro de 2026) também aciona prazos legais rigorosos: sob a lei federal de notificação de violação de dados de saúde, a divulgação deve ocorrer em até 60 dias após a descoberta, o que gerou questionamentos sobre se a empresa cumpriu o cronograma exigido pelo HHS.
Por que isso importa
Esse incidente não é só sobre vazamento de dados: ele revela uma falha estrutural na segurança de sistemas de elegibilidade, que são usados centenas de vezes por dia em consultórios e centros médicos. Diferente de bases de dados estáticas, esses portais precisam ter acesso em tempo real a informações dinâmicas de múltiplas operadoras, e muitas vezes são integrados com APIs mal auditadas ou sem autenticação multifator. Para provedores brasileiros que adotam soluções similares (como plataformas de pré-autorização via TISS ou integrações com operadoras), o caso serve como alerta prático: dados de elegibilidade são tão sensíveis quanto prontuários, mas raramente recebem o mesmo nível de proteção técnica ou revisão de permissões de acesso.
Perguntas frequentes
Quais dados exatamente foram expostos?
Nomes, endereços, datas de nascimento, números de CPF (equivalente ao SSN nos EUA), números de beneficiários do Medicare, nomes de seguradoras, nomes de provedores atendentes e vínculos entre segurados e dependentes. Não houve vazamento de dados financeiros, cartões ou senhas.
Por que a notificação levou tanto tempo, de outubro de 2025 até fevereiro de 2026?
A TriZetto notificou os provedores afetados em 9 de dezembro de 2025, mas a comunicação individual aos pacientes só começou em fevereiro de 2026. Isso pode refletir a complexidade de identificar todos os indivíduos impactados em relatórios históricos distribuídos por múltiplos clientes, além de processos internos de validação jurídica antes da divulgação.
A TriZetto oferece alguma proteção pós-vazamento?
Sim. A empresa está fornecendo 12 meses de monitoramento de crédito e proteção contra roubo de identidade gratuitos pela Kroll. Até agora, não há relatos confirmados de uso fraudulento dos dados expostos.
Esse tipo de falha pode acontecer em sistemas de saúde no Brasil?
Pode sim. Plataformas que acessam dados de elegibilidade via TISS, integrações com operadoras privadas ou SUS têm riscos similares se não aplicarem autenticação forte, auditoria de logs de acesso e limitação de escopo em APIs. O caso TriZetto mostra que o risco não está apenas no armazenamento, mas na forma como esses dados são consultados em tempo real.
Fontes
- bankinfosecurity.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 09 de março de 2026
- Editoria
- CEVIU Segurança da Informação
