Dados médicos ligados a cerca de 500.000 cidadãos do Reino Unido foram brevemente anunciados para venda online, desencadeando uma investigação governamental e renovando preocupações sobre como informações sensíveis de saúde são tratadas.
Os dados vieram do UK Biobank, um projeto de pesquisa em grande escala que coleta informações genéticas, biológicas e de estilo de vida de voluntários para apoiar estudos sobre doenças como câncer, demência e condições cardíacas.
Segundo autoridades, o conjunto de dados apareceu em múltiplas listagens em plataformas operadas pela Alibaba. O governo do Reino Unido confirmou que as informações haviam sido divulgadas por vários vendedores, gerando alarme sobre como os dados foram acessados e distribuídos.
Embora os dados expostos não incluíssem identificadores diretos como nomes, endereços ou números de telefone, ainda continham detalhes sensíveis. Esses informações incluíam gênero, idade, nascimento, indicadores socioeconômicos, hábitos de estilo de vida e medições derivadas de amostras biológicas. As autoridades alertaram que até mesmo conjuntos de dados anonimizados podem apresentar riscos à privacidade, especialmente quando combinados com outras fontes de dados.
Investigações sugerem que os dados foram originalmente compartilhados com pesquisadores de três instituições acadêmicas sob acordos legítimos. No entanto, acredita-se que essas instituições estejam ligadas à violação, e seu acesso ao conjunto de dados foi revogado.
Tanto as autoridades do Reino Unido quanto da China agiram rapidamente para remover os anúncios, e autoridades afirmaram que não há evidências de que qualquer dado tenha sido realmente comprado antes de serem removidos. Apesar disso, o incidente foi descrito como uma grave quebra de confiança, especialmente considerando a natureza voluntária da participação no projeto Biobanco.
O caso também reacendeu preocupações sobre a segurança de grandes bancos de dados de saúde. Relatórios anteriores indicaram que dados do Biobank foram expostos online em várias ocasiões, muitas vezes devido ao mau manuseio dos conjuntos de dados por pesquisadores, e não a ataques cibernéticos diretos.
Em resposta, a organização suspendeu o acesso à sua plataforma, introduziu monitoramento mais rigoroso das exportações de dados e iniciou uma investigação completa. Espera-se que salvaguardas adicionais limitem a quantidade de dados que os pesquisadores podem baixar e detectem atividades suspeitas mais rapidamente.
A violação destaca uma questão mais ampla enfrentada pelos sistemas modernos de pesquisa: o equilíbrio entre a colaboração científica aberta e a necessidade de controlar rigorosamente dados pessoais altamente sensíveis.