A fuga de dados médicos que afetou milhões de franceses é o resultado de uma negligência incrível. Poucas semanas depois de os dados terem sido publicados online na dark web, soubemos que a editora Cegedim não tinha tomado todas as medidas adequadas para proteger as informações em sua posse.
No final de fevereiro de 2026, um banco de dados contendo informações médicas sobre 11 a 15 milhões de franceses foi descoberto na dark web. O diretório inclui comentários extremamente íntimos escritos por médicos sobre seus pacientes. O vazamento revela traumas, violência sexual, distúrbios psicológicos, orientações sexuais, mas também dados de identidade e contato. Os dados foram roubados da editora de software médico Cegedim. A empresa confirma que “identificou, no final de 2025, comportamento anormal de pedidos de aplicação em contas médicas através do software MLM (MonLogicielMedical.com)”. Uma investigação judicial está em andamento.
Com @ALehenanff Ministro Delegado responsável pela Inteligência Artificial e Digital, reunimos ontem a empresa Cegedim em Bercy para obter esclarecimentos completos sobre o incidente de segurança cibernética e sobre as medidas implementadas para informar o… pic.twitter.com/7JEPrtOiv8
– Stéphanie RIST (@stephanie_rist) 5 de março de 2026
Algumas semanas após o anúncio do hacking, Cegedim foi convocado para Bercy pela Ministra Delegada responsável pela Inteligência Artificial e Tecnologia Digital Anne Le Hénanff e pela Ministra da Saúde Stéphanie RIST. Como este último explica em X, a reunião teve como objetivo “obter esclarecimentos completos sobre o incidente de segurança cibernética”.
Leia também: A Microsoft acaba de destruir a arma secreta dos hackers para contornar a autenticação dupla
169.000 dados médicos confidenciais
O editor foi solicitado, nomeadamente, a esclarecer os contornos do ataque cibernético. A empresa explicou que o relatório inicial do ataque cibernético, apresentado em outubro à CNIL de acordo com o GDPR, dizia respeito apenas a dois profissionais de saúde. A declaração foi atualizada em janeiro para indicar que o ataque comprometeu aproximadamente 1.500 profissionais dos 3.800 usuários do software.
Quanto às informações hackeadas, o editor especificou que os dados expostos são principalmente administrativos. Estamos falando principalmente de informações de contato e detalhes de contato, o que continua sendo uma preocupação. De acordo com as investigações, 169.000 dados contêm informações confidenciais, como comentários médicos.
Sem autenticação dupla para proteger seus dados médicos
Na sua publicação, a Ministra da Saúde explica que foi solicitado à Cegedim que reforçasse a sua segurança informática. O editor é convidado a “acelerar sua conformidade” com a diretiva NIS 2 e a Lei de Resiliência Cibernética, duas diretivas europeias que impõem regras de segurança cibernética e que estabelecem requisitos precisos para software.
Acima de tudo, os ministérios pediram à Cegedim que “fortalecer imediatamente a sua segurança cibernética”. O Ministro da Saúde destaca uma medida de proteção emblemática: a dupla autenticação. Para surpresa de todos, verifica-se que a editora ainda não implementou um sistema de autenticação multifatorial para proteger os inúmeros dados médicos em sua posse. Para penetrar nos sistemas da Cegedim, os invasores só precisaram usarcredenciais roubadas aos médicos.
Este recurso de segurança adiciona uma etapa adicional de autenticação para acessar suas contas. Além da simples senha, é necessário inserir um código recebido por SMS, por e-mail ou por meio de um aplicativo dedicado como o Google Authenticator. Dessa forma, suas contas permanecem protegidas mesmo que sua senha seja roubada. O sistema foi se difundindo gradativamente na Internet, a tal ponto que 80% dos usuários utilizam autenticação de fator duplo, segundo estudo da Cisco. Indo na contramão, muitos editores, guardiões de dados sensíveis, negligenciaram a implementação do sistema, embora ele seja capaz de bloquear uma grande proporção de invasões.
É também a mesma negligência incrível que está na origem da pirataria informática ao Ministério do Interior, ocorrida no final do ano passado. Embora os ataques cibernéticos estejam a aumentar em França, a falta de autenticação multifactor, generalizada em todos os aspectos, pode ser considerada uma grave falta de vigilância. Entramos em contato com a Cegedim para saber mais sobre suas medidas de segurança, mas ainda não recebemos resposta nesta fase.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.