De novo. Neste ponto, não é mais surpreendente. Aqui está mais uma vez uma nova fuga de dados, específica de França, que afetaria entre 11 e 15 milhões de pessoas! Desta vez a fonte é médica: os dados vêm do software MonLogicielMedical.com, utilizado por 3.800 médicos na França.
O caso foi revelado pela France 2, que descobriu o banco de dados de acesso gratuito na dark Web. Contém as informações pessoais habituais, incluindo nome, data de nascimento, número de telefone, endereço postal e endereço de e-mail. Isto já é extremamente sério por si só. Mas esta informação já tendo sido roubada em inúmeras ocasiões, como durante os hacks do Free ou do Bouygues, quase se tornou rotina. Felizmente, o banco de dados não contém registros médicos dos pacientes.
Comentários contendo informações muito pessoais
Por outro lado, o que é particularmente preocupante é a presença de um campo reservado aos comentários dos médicos. Às vezes, esses comentários contêm informações muito pessoais, como indicação de uma doença grave, víciossexualidade ou religião. Entre os pacientes envolvidos estariam figuras políticas importantes, candidatos presidenciais, altos funcionários, etc.
A France 2 contatou o hacker que afirma estar por trás do vazamento. Indica que comunicou os factos à Cegedim, que não respondeu. Em comunicado de imprensa publicado após a reportagem, a empresa negou ter sido contatada. Ela confirma o roubo de dados, mas especifica que as informações sensíveis contidas nos comentários administrativos dizem respeito apenas a um número muito limitado de pacientes.
Um novo vazamento de dados médicos afetaria 15 milhões de pacientes. © EB com ChatGPT
Alguma imprecisão sobre o número total de pessoas envolvidas
Cegedim afirma ter identificado acessos anormais no final de 2025 a contas de médicos através do software e que “ foram tomadas todas as medidas necessárias para lidar com este incidente que foi contido “. A empresa indica que informou a CNIL, apresentou queixa e contactou todos os médicos envolvidos no início de janeiro.
O banco de dados de acesso aberto foi retirado do ar, mas ainda está à venda na dark web. A France 2 afirma que conteria entre 11 e 15 milhões de pessoas, e os jornalistas contactaram alguns dos pacientes para verificar a informação. O hacker afirma que há um total de 19 milhões de pessoas, mas apenas 150 mil endereços de e-mail exclusivos.
Brigada do Cibercrime apreendida
Este segundo número não surpreende, uma vez que os médicos não recolhem sistematicamente os e-mails dos pacientes. O Ministério da Saúde estima o número em 15 milhões e indica que apenas 169 mil das gravações continham comentário inserido pelo médico, ou 1%. Revela ainda que a Cegedim apresentou denúncia em 27 de outubro de 2025, após “ funcionários relataram ter recebido e-mails de extorsão alegando a invasão de vários milhares de dados pessoais “. O parquete de Paris contatou a Brigada do Cibercrime.
Esta não é a primeira vez que a Cegedim é implicada numa fuga de dados. Em setembro de 2024, a empresa foi condenada ao pagamento de uma multa de 800 mil euros pelo tratamento de dados e pela sua transmissão a terceiros para estudos estatísticos. O problema não era tanto transmissão em si, mas o fato de os dados não serem anonimizados, mas pseudonimizados. Ou seja, foi possível descobrir a identidade dos pacientes. Os dados pseudonimizados são considerados dados pessoais e estão sujeitos a regulamento geral de proteção de dados (RGPD).