{"vulnerability": "CVE-2024-3779", "sightings": [{"uuid": "728f08e6-6327-478a-a448-eb66d86ba7e3", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2024-37790", "type": "seen", "source": "https://gist.github.com/netbarros/05a986bbb34a8ad9e5b0ad16394bfa96", "content": "\n\n\n\n\nAn\u00e1lise T\u00e9cnica e Estrat\u00e9gica \u00b7 Mais Benef\u00edcios para Todos & M\u00e9dico Online Sa\u00fade\n\n\n\n\n\n\n\n :root {\n --sofia-blue: #3862FC;\n --sofia-blue-soft: #4F75FF;\n --sofia-blue-dark: #1E3FB8;\n --accent-rose: #E8527F;\n --accent-rose-soft: #F26B95;\n --bg-base: #07090F;\n --bg-surface-1: #0D1019;\n --bg-surface-2: #131829;\n --bg-surface-3: #1B2138;\n --border-subtle: rgba(255, 255, 255, 0.06);\n --border-default: rgba(255, 255, 255, 0.10);\n --border-strong: rgba(255, 255, 255, 0.18);\n --text-primary: #F4F6FB;\n --text-secondary: #B6BCD0;\n --text-tertiary: #7C849B;\n --text-muted: #525873;\n --sev-crit: #DC2626;\n --sev-crit-bg: rgba(220, 38, 38, 0.10);\n --sev-crit-border: rgba(220, 38, 38, 0.30);\n --sev-high: #F97316;\n --sev-high-bg: rgba(249, 115, 22, 0.10);\n --sev-high-border: rgba(249, 115, 22, 0.30);\n --sev-med: #EAB308;\n --sev-med-bg: rgba(234, 179, 8, 0.10);\n --sev-med-border: rgba(234, 179, 8, 0.30);\n --sev-low: #3862FC;\n --sev-low-bg: rgba(56, 98, 252, 0.10);\n --sev-low-border: rgba(56, 98, 252, 0.30);\n }\n * { box-sizing: border-box; }\n html { scroll-behavior: smooth; }\n body {\n font-family: 'Geist', -apple-system, system-ui, sans-serif;\n background: var(--bg-base);\n color: var(--text-primary);\n margin: 0;\n line-height: 1.7;\n -webkit-font-smoothing: antialiased;\n overflow-x: hidden;\n }\n .font-mono { font-family: 'Geist Mono', monospace; font-feature-settings: \"ss01\"; }\n .glass {\n background: rgba(13, 16, 25, 0.85);\n backdrop-filter: blur(14px) saturate(140%);\n -webkit-backdrop-filter: blur(14px) saturate(140%);\n border-bottom: 1px solid var(--border-subtle);\n }\n .gradient-text-brand {\n background: linear-gradient(135deg, #3862FC 0%, #6B8AFF 100%);\n -webkit-background-clip: text;\n background-clip: text;\n -webkit-text-fill-color: transparent;\n }\n .gradient-text-rose {\n background: linear-gradient(135deg, #E8527F 0%, #FF6FA0 100%);\n -webkit-background-clip: text;\n background-clip: text;\n -webkit-text-fill-color: transparent;\n }\n .grid-bg {\n background-image:\n linear-gradient(rgba(255,255,255,0.025) 1px, transparent 1px),\n linear-gradient(90deg, rgba(255,255,255,0.025) 1px, transparent 1px);\n background-size: 48px 48px;\n }\n .radial-glow {\n background: radial-gradient(ellipse 60% 50% at 50% 0%, rgba(56, 98, 252, 0.18) 0%, transparent 70%);\n }\n .reveal {\n opacity: 0;\n transform: translateY(20px);\n transition: opacity 700ms cubic-bezier(0.16, 1, 0.3, 1), transform 700ms cubic-bezier(0.16, 1, 0.3, 1);\n }\n .reveal.in {\n opacity: 1;\n transform: translateY(0);\n }\n @media (prefers-reduced-motion: reduce) {\n .reveal { opacity: 1; transform: none; transition: none; }\n }\n .scroll-progress {\n position: fixed;\n top: 0;\n left: 0;\n width: 100%;\n height: 2px;\n background: rgba(56, 98, 252, 0.15);\n z-index: 100;\n }\n .scroll-progress-bar {\n height: 100%;\n background: linear-gradient(90deg, #3862FC 0%, #E8527F 100%);\n width: 0%;\n transition: width 50ms ease;\n }\n .badge {\n display: inline-flex;\n align-items: center;\n gap: 6px;\n padding: 4px 10px;\n border-radius: 6px;\n font-size: 11px;\n font-weight: 600;\n letter-spacing: 0.06em;\n text-transform: uppercase;\n font-family: 'Geist Mono', monospace;\n }\n .badge-confidential {\n background: rgba(232, 82, 127, 0.10);\n border: 1px solid rgba(232, 82, 127, 0.30);\n color: var(--accent-rose-soft);\n }\n .sev-crit {\n background: var(--sev-crit-bg);\n border: 1px solid var(--sev-crit-border);\n color: #FCA5A5;\n }\n .sev-high {\n background: var(--sev-high-bg);\n border: 1px solid var(--sev-high-border);\n color: #FDBA74;\n }\n .sev-med {\n background: var(--sev-med-bg);\n border: 1px solid var(--sev-med-border);\n color: #FDE047;\n }\n .sev-low {\n background: var(--sev-low-bg);\n border: 1px solid var(--sev-low-border);\n color: var(--sofia-blue-soft);\n }\n .nav-link {\n position: relative;\n transition: color 200ms ease;\n font-size: 13px;\n }\n .nav-link:hover { color: var(--text-primary); }\n\n .section-anchor {\n scroll-margin-top: 80px;\n }\n .section-num {\n font-family: 'Geist Mono', monospace;\n font-size: 13px;\n font-weight: 500;\n color: var(--text-tertiary);\n letter-spacing: 0.04em;\n }\n .section-title {\n font-size: clamp(28px, 4vw, 40px);\n font-weight: 700;\n letter-spacing: -0.02em;\n line-height: 1.15;\n }\n .lead {\n font-size: 17px;\n color: var(--text-secondary);\n line-height: 1.7;\n }\n .finding-card {\n background: linear-gradient(180deg, rgba(19, 24, 41, 0.55) 0%, rgba(13, 16, 25, 0.55) 100%);\n border: 1px solid var(--border-subtle);\n border-radius: 16px;\n transition: border-color 240ms ease;\n }\n .finding-card:hover {\n border-color: var(--border-strong);\n }\n .finding-id {\n font-family: 'Geist Mono', monospace;\n font-size: 12px;\n font-weight: 600;\n color: var(--text-tertiary);\n letter-spacing: 0.06em;\n }\n .finding-title {\n font-size: 19px;\n font-weight: 600;\n letter-spacing: -0.01em;\n line-height: 1.3;\n }\n .finding-label {\n font-size: 11px;\n font-weight: 600;\n letter-spacing: 0.08em;\n text-transform: uppercase;\n color: var(--text-tertiary);\n margin-bottom: 6px;\n display: block;\n }\n .finding-text {\n font-size: 14.5px;\n color: var(--text-secondary);\n line-height: 1.65;\n }\n .code-inline {\n font-family: 'Geist Mono', monospace;\n font-size: 12.5px;\n background: rgba(56, 98, 252, 0.10);\n border: 1px solid rgba(56, 98, 252, 0.20);\n color: var(--sofia-blue-soft);\n padding: 1px 7px;\n border-radius: 5px;\n word-break: break-all;\n }\n .callout {\n background: rgba(56, 98, 252, 0.04);\n border: 1px solid rgba(56, 98, 252, 0.20);\n border-left: 3px solid var(--sofia-blue);\n border-radius: 12px;\n padding: 20px 24px;\n }\n .callout-warn {\n background: rgba(249, 115, 22, 0.04);\n border: 1px solid rgba(249, 115, 22, 0.25);\n border-left: 3px solid var(--sev-high);\n }\n .callout-crit {\n background: rgba(220, 38, 38, 0.04);\n border: 1px solid rgba(220, 38, 38, 0.25);\n border-left: 3px solid var(--sev-crit);\n }\n table.exec-table {\n width: 100%;\n border-collapse: collapse;\n font-size: 14px;\n }\n table.exec-table th {\n text-align: left;\n font-weight: 600;\n padding: 14px 16px;\n background: rgba(255, 255, 255, 0.03);\n border-bottom: 1px solid var(--border-default);\n color: var(--text-tertiary);\n text-transform: uppercase;\n font-size: 11px;\n letter-spacing: 0.06em;\n }\n table.exec-table td {\n padding: 14px 16px;\n border-bottom: 1px solid var(--border-subtle);\n color: var(--text-secondary);\n vertical-align: top;\n }\n table.exec-table tr:last-child td { border-bottom: none; }\n .table-wrap {\n background: rgba(19, 24, 41, 0.4);\n border: 1px solid var(--border-subtle);\n border-radius: 12px;\n overflow: hidden;\n }\n .risk-matrix {\n display: grid;\n grid-template-columns: 80px repeat(3, 1fr);\n grid-template-rows: 40px repeat(3, 1fr);\n gap: 1px;\n background: var(--border-subtle);\n border: 1px solid var(--border-subtle);\n border-radius: 12px;\n overflow: hidden;\n aspect-ratio: 16 / 11;\n max-width: 720px;\n }\n .risk-cell {\n background: var(--bg-surface-1);\n padding: 12px;\n display: flex;\n flex-direction: column;\n gap: 6px;\n font-size: 12px;\n }\n .risk-cell-label {\n background: rgba(255,255,255,0.02);\n color: var(--text-tertiary);\n font-size: 11px;\n font-weight: 600;\n letter-spacing: 0.06em;\n text-transform: uppercase;\n align-items: center;\n justify-content: center;\n }\n .risk-cell-crit { background: rgba(220, 38, 38, 0.10); }\n .risk-cell-high { background: rgba(249, 115, 22, 0.08); }\n .risk-cell-med { background: rgba(234, 179, 8, 0.06); }\n .risk-cell-low { background: rgba(56, 98, 252, 0.06); }\n .risk-pill {\n background: rgba(13, 16, 25, 0.85);\n border: 1px solid rgba(255, 255, 255, 0.10);\n color: var(--text-primary);\n border-radius: 6px;\n padding: 3px 8px;\n font-size: 11px;\n font-family: 'Geist Mono', monospace;\n font-weight: 600;\n display: inline-block;\n }\n .lucide { width: 18px; height: 18px; stroke-width: 1.5; }\n .footer-grid {\n display: grid;\n grid-template-columns: 1fr 1fr;\n gap: 40px;\n }\n @media (max-width: 768px) {\n .footer-grid { grid-template-columns: 1fr; }\n .risk-matrix { grid-template-columns: 60px repeat(3, 1fr); aspect-ratio: 1 / 1; }\n }\n .pulse-dot { animation: pulse 2.4s cubic-bezier(0.4, 0, 0.6, 1) infinite; }\n @keyframes pulse { 0%, 100% { opacity: 1; } 50% { opacity: 0.4; } }\n .timeline-row {\n display: grid;\n grid-template-columns: 80px 1fr;\n gap: 24px;\n padding: 20px 0;\n border-bottom: 1px solid var(--border-subtle);\n }\n .timeline-row:last-child { border-bottom: none; }\n .timeline-tag {\n font-family: 'Geist Mono', monospace;\n font-size: 11px;\n font-weight: 600;\n color: var(--text-tertiary);\n letter-spacing: 0.06em;\n text-transform: uppercase;\n padding-top: 4px;\n }\n\n\n\n\n\n\n \n\n\n\n\n\n \n\n \n\n \nSL\n \n\n \nSoftware Lotus\n \nAn\u00e1lise T\u00e9cnica e Estrat\u00e9gica\n \n \n \n\n Sum\u00e1rio\n Stack\n Mapa de risco\n Vulnerabilidades\n Abordagem\n Compliance\n Competitivo\n Remedia\u00e7\u00e3o\n \n \n \n Confidencial\n \n \n\n\n\n\n\n \n\n \n\n \n\n \n\n \n Documento confidencial\n \n \n Preparado por Software Lotus\n \n \n Vers\u00e3o 1.0 \u00b7 Maio de 2026\n \n \n\n \n\n An\u00e1lise T\u00e9cnica\n e Estrat\u00e9gica.\n \n\n \n\n Levantamento de vulnerabilidades t\u00e9cnicas, falhas de abordagem comercial, gaps de compliance e posicionamento competitivo das opera\u00e7\u00f5es Mais Benef\u00edcios para Todos e M\u00e9dico Online Sa\u00fade, com base exclusiva em fontes p\u00fablicas e padr\u00f5es observ\u00e1veis de mercado.\n \n\n \n\n \n\n \n \n Opera\u00e7\u00e3o analisada\n Mais Benef\u00edcios para Todos (clube de benef\u00edcios) + M\u00e9dico Online Sa\u00fade (telemedicina) + EAD/cursos\n \n \n Endere\u00e7o operacional\n Rua Sandoval Campos, 123 \u2014 \u00c1lvaro Camargos, Belo Horizonte/MG \u00b7 CEP 30860-100\n \n \n Canal \u00fanico declarado\n (31) 4042-3172 \u2014 WhatsApp Business\n \n \n Metodologia\n OWASP Top 10 \u00b7 LGPD ANPD \u00b7 CFM 2.314/2022 \u00b7 CFM 1.821/2007 \u00b7 CDC Art. 49 \u00b7 Discovery competitivo p\u00fablico\n \n \n Limita\u00e7\u00e3o assumida\n Sem pentest ativo. Sem inspe\u00e7\u00e3o de tr\u00e1fego autenticado. Achados representam o que qualquer analista s\u00eanior identifica de fora em 30 a 60 minutos.\n \n \n \n \n \n\n\n\n\n\n \n\n\n \n\n \n0.0 \u2014 SUM\u00c1RIO EXECUTIVO\n \nCinco achados que precisam de aten\u00e7\u00e3o imediata.\n \n\n Os pontos abaixo concentram a maior parte do risco operacional, regulat\u00f3rio e comercial mapeado. Cada um est\u00e1 detalhado em sua respectiva se\u00e7\u00e3o, com evid\u00eancia observada, severidade atribu\u00edda e recomenda\u00e7\u00e3o concreta.\n \n \n\n \n\n \n\n Cr\u00edtico\n \n\n \nFT-01 \u00b7 Vulnerabilidade t\u00e9cnica\n \nIdentificador de credencial AWS exposto em URL p\u00fablica\n \nA URL assinada de um asset do logo no painel app.medicoonlinesaude.med.br exp\u00f5e um AccessKeyId AWS (AKIAUU5NSAWLWGJNRBX6). Combinado com bucket policy mal configurada, permite enumera\u00e7\u00e3o de objetos no bucket S3 medicoonline. Em telemedicina, exposi\u00e7\u00e3o de prontu\u00e1rio cl\u00ednico via bucket aberto configura viola\u00e7\u00e3o direta da LGPD Art. 11 e tem precedente de multa de at\u00e9 2% do faturamento.\n \n \n\n \n\n Cr\u00edtico\n \n\n \nCO-01 \u00b7 Compliance regulat\u00f3rio\n \nDom\u00ednio .med.br sem respons\u00e1vel t\u00e9cnico m\u00e9dico publicado\n \nO dom\u00ednio .med.br exige, pelo Registro.br, vincula\u00e7\u00e3o a profissional m\u00e9dico ou pessoa jur\u00eddica com respons\u00e1vel t\u00e9cnico m\u00e9dico inscrito no CRM do estado da sede. O site n\u00e3o publica nome, foto e n\u00famero do CRM-MG do respons\u00e1vel t\u00e9cnico, requisito expl\u00edcito do Art. 13 da Resolu\u00e7\u00e3o CFM 2.314/2022 para qualquer comunica\u00e7\u00e3o ao paciente. Risco: suspens\u00e3o administrativa do dom\u00ednio e processo \u00e9tico no CRM.\n \n \n\n \n\n Cr\u00edtico\n \n\n \nCO-02 \u00b7 Compliance regulat\u00f3rio\n \nReceita digital entregue por WhatsApp sem assinatura ICP-Brasil\n \nO fluxo declarado entrega receita m\u00e9dica e atestado por WhatsApp. A Resolu\u00e7\u00e3o CFM 2.299/2021 exige assinatura digital com certificado ICP-Brasil (ou GOV.BR de n\u00edvel ouro/prata, conforme atualiza\u00e7\u00e3o) para validade jur\u00eddica da prescri\u00e7\u00e3o. Receita por WhatsApp como PDF simples n\u00e3o tem validade legal \u2014 farm\u00e1cia que recusa est\u00e1 respaldada, paciente que processa tem motivo, e o m\u00e9dico respons\u00e1vel fica exposto ao CRM.\n \n \n\n \n\n Alto\n \n\n \nFA-01 \u00b7 Falha de abordagem comercial\n \nWhatsApp como canal \u00fanico concentra cinco fun\u00e7\u00f5es e satura\n \nUm \u00fanico n\u00famero (31) 4042-3172 recebe capta\u00e7\u00e3o de venda nova, cadastro de assinatura, agendamento de teleconsulta, suporte t\u00e9cnico e cobran\u00e7a de inadimpl\u00eancia. Em volume operacional t\u00edpico do setor, esse desenho gera fila, primeira resposta lenta, atendente saturado, abandono no funil de venda nova e churn por SAC ruim. \u00c9 a maior fonte de perda de receita silenciosa da opera\u00e7\u00e3o.\n \n \n\n \n\n Alto\n \n\n \nCO-03 \u00b7 Compliance regulat\u00f3rio\n \nMistura de dado contratual com dado cl\u00ednico sens\u00edvel sem segrega\u00e7\u00e3o vis\u00edvel\n \nA opera\u00e7\u00e3o trata dois tipos de dado regulatoriamente distintos: dado pessoal de assinante (LGPD Art. 5\u00ba I, base contratual) e dado pessoal sens\u00edvel cl\u00ednico (LGPD Art. 5\u00ba II + Art. 11, requer consentimento espec\u00edfico ou tutela da sa\u00fade). N\u00e3o h\u00e1 evid\u00eancia p\u00fablica de segrega\u00e7\u00e3o \u2014 pol\u00edtica de privacidade vis\u00edvel, DPO/Encarregado nomeado, ou bases legais separadas para cada tratamento. Cruzar dado cl\u00ednico para campanha de upsell sem consentimento espec\u00edfico \u00e9 viola\u00e7\u00e3o direta.\n \n \n \n\n \n\n \n\n \n \n\n \nLeitura honesta da gravidade combinada\n \n\n Esses cinco achados, isoladamente, s\u00e3o gerenci\u00e1veis. Combinados, formam um quadro onde uma \u00fanica den\u00fancia ao CRM-MG ou \u00e0 ANPD pode interditar a opera\u00e7\u00e3o enquanto se investiga. A boa not\u00edcia \u00e9 que todos s\u00e3o corrig\u00edveis em prazo curto a m\u00e9dio com a arquitetura certa. Esta an\u00e1lise existe para que corre\u00e7\u00e3o venha por decis\u00e3o do operador, n\u00e3o por exig\u00eancia regulat\u00f3ria ap\u00f3s o fato.\n \n \n \n \n\n \n\n\n\n\n\n \n\n\n \n\n \n1.0 \u2014 STACK T\u00c9CNICO IDENTIFICADO\n \nA opera\u00e7\u00e3o foi constru\u00edda em camadas, com pragmatismo e custo baixo.\n \n\n O que se observa de fora \u00e9 uma arquitetura t\u00edpica de operador regional brasileiro p\u00f3s-pandemia: site institucional WordPress + canal de capta\u00e7\u00e3o centralizado em WhatsApp + aplica\u00e7\u00e3o propriet\u00e1ria para a parte funcional (telemedicina). N\u00e3o h\u00e1 sinal de plataforma white-label terceirizada (Conexa, Memed, Doutor Ao Vivo) \u2014 a opera\u00e7\u00e3o parece manter a camada m\u00e9dica em-casa.\n \n \n\n \n\n\n \n\n \n\n \n \nMais Benef\u00edcios para Todos\n \n \n\n CMSWordPress (URLs /wp-content/uploads/ indexadas)\n TemaResponsivo padr\u00e3o, sem identifica\u00e7\u00e3o de tema premium\n Capta\u00e7\u00e3oBot\u00e3o \u00fanico wa.me/553140423172 (WhatsApp)\n PagamentoN\u00e3o evidenciado fluxo online; prov\u00e1vel pagamento via boleto/PIX ap\u00f3s cadastro humano\n AnalyticsSem evid\u00eancia de pixel Meta/Google Tag Manager vis\u00edvel\n \n \n\n \n\n \n\n \n \nM\u00e9dico Online Sa\u00fade\n \n \n\n SiteWordPress no dom\u00ednio raiz .med.br\n Appapp.medicoonlinesaude.med.br \u2014 prov\u00e1vel Laravel ou Node\n StorageAWS S3 regi\u00e3o sa-east-1 (S\u00e3o Paulo) \u00b7 bucket medicoonline\n Receita digitalEntregue por WhatsApp (problem\u00e1tico \u2014 ver CO-02)\n EspecialidadesCl\u00ednico geral 24h + agendamento de especialistas (volume n\u00e3o declarado)\n \n \n\n \n\n \n\n \n\n \n \n\n \nInfer\u00eancia cr\u00edtica sobre escala\n \n\n O endere\u00e7o operacional declarado (Rua Sandoval Campos, 123 \u2014 \u00c1lvaro Camargos, BH) \u00e9 predominantemente residencial. Combinado com o canal \u00fanico pelo WhatsApp e a aus\u00eancia de equipe t\u00e9cnica vis\u00edvel, o quadro coerente \u00e9 de opera\u00e7\u00e3o enxuta (at\u00e9 30 colaboradores diretos). Isso \u00e9 positivo para custos mas amplifica o risco regulat\u00f3rio: opera\u00e7\u00f5es enxutas raramente t\u00eam DPO formal, processo de tratamento de incidente, ou backup independente do sistema principal \u2014 todas exig\u00eancias da LGPD para empresa que trata dado cl\u00ednico.\n \n \n \n \n\n \n\n\n\n\n\n \n\n\n \n\n \n2.0 \u2014 MAPA DE RISCO\n \nOnde est\u00e3o os pontos de exposi\u00e7\u00e3o, plotados por probabilidade e impacto.\n \n\n Cada finding deste relat\u00f3rio foi classificado em uma matriz padr\u00e3o de gest\u00e3o de risco. A leitura \u00e9 simples: o que est\u00e1 no canto superior direito (alta probabilidade \u00d7 alto impacto) \u00e9 o que precisa virar prioridade absoluta nas pr\u00f3ximas duas semanas. O resto pode ser planejado.\n \n \n\n \n\n \n\n \n\n \nImpacto baixo\n \nImpacto m\u00e9dio\n \nImpacto alto\n\n \nProb. alta\n \n\n \n\n FA-01\n FA-02\n \n \n\n FT-01\n CO-01\n CO-02\n CO-03\n \n\n \nProb. m\u00e9dia\n \n\n FT-09\n FT-10\n \n \n\n FT-04\n FT-05\n FT-06\n FA-04\n FA-07\n \n \n\n FT-02\n FT-03\n FA-03\n FA-05\n \n\n \nProb. baixa\n \n\n FA-09\n FA-10\n \n \n\n FT-07\n FT-08\n FA-06\n FA-08\n \n \n\n CO-04\n CO-05\n \n \n \n\n \n\n Cr\u00edtico \u2014 agir em 1-2 semanas\n Alto \u2014 agir em 1 m\u00eas\n M\u00e9dio \u2014 agir em 3 meses\n Baixo \u2014 backlog\n \n\n \n\n FT = Falha t\u00e9cnica \u00b7 FA = Falha de abordagem \u00b7 CO = Gap de compliance regulat\u00f3rio. Cada c\u00f3digo \u00e9 detalhado nas se\u00e7\u00f5es 3.0, 4.0 e 5.0 deste documento.\n \n\n \n\n\n\n\n\n \n\n\n \n\n \n3.0 \u2014 VULNERABILIDADES T\u00c9CNICAS\n \nDez achados de superf\u00edcie vis\u00edvel externamente.\n \n\n Identifica\u00e7\u00f5es feitas por inspe\u00e7\u00e3o p\u00fablica dos sites, sem qualquer a\u00e7\u00e3o invasiva. Tudo o que est\u00e1 aqui pode ser confirmado em 5 minutos com ferramentas b\u00e1sicas (curl, navegador, registro.br whois). Se\u00e7\u00f5es organizadas por severidade decrescente.\n \n \n\n \n \n\n \n\n \n\n \nFT-01\n \nIdentificador de credencial AWS exposto em URL p\u00fablica\n \n Cr\u00edtico\n \n\n \n\n \n\n Evid\u00eancia observada\n \nURL assinada do logo da aplica\u00e7\u00e3o carrega o AccessKeyId AKIAUU5NSAWLWGJNRBX6 vis\u00edvel no par\u00e2metro X-Amz-Credential. O bucket \u00e9 medicoonline.s3.sa-east-1.amazonaws.com.\n \n \n\n Risco real\n \nO AccessKey ID sozinho n\u00e3o \u00e9 credencial completa, mas \u00e9 metade dela. Combinado com bucket policy mal configurada (default WordPress S3 plugins frequentemente permitem ListBucket p\u00fablico), permite enumerar todos os objetos e baixar prontu\u00e1rios, atestados e receitas em massa. CVE-equivalente: CWE-540.\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \n(1) Rotacionar credencial imediatamente no IAM. (2) Auditar bucket policy \u2014 exigir aws:SourceIp restrito ao backend ou IAM Role + STS de curta dura\u00e7\u00e3o. (3) Servir assets pelo CloudFront com signed URLs de TTL curto. (4) Auditar \u00faltimos 90 dias de CloudTrail por enumera\u00e7\u00e3o suspeita. Esfor\u00e7o: 4\u20138 horas. Custo de n\u00e3o fazer: incidente de vazamento cl\u00ednico em massa.\n \n \n\n \n \n\n \n\n \n\n \nFT-02\n \nWordPress sem evid\u00eancia p\u00fablica de versionamento controlado\n \n Alto\n \n\n \n\n \n\n Evid\u00eancia observada\n \nHeaders HTTP n\u00e3o exp\u00f5em X-Powered-By nem X-Generator. Em sites WP onde isso \u00e9 escondido manualmente sem evid\u00eancia de WAF/CDN moderno (Cloudflare Pro+, Sucuri, Wordfence Premium), o padr\u00e3o estat\u00edstico do mercado brasileiro 2024-2026 \u00e9 vers\u00e3o WP ou plugin desatualizado.\n \n \n\n Risco real\n \nPlugin WP desatualizado \u00e9 vetor #1 de invas\u00e3o no Brasil. CVEs ativos em Elementor (CVE-2024-37790), WPBakery, WooCommerce, Contact Form 7, plugins de slider e formul\u00e1rio. Exploit t\u00edpico: RCE \u2192 shell PHP \u2192 exfiltra\u00e7\u00e3o de banco WP_users + WP_postmeta \u2192 cruzamento com base de pacientes via S3 j\u00e1 enumerado (FT-01).\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \n(1) Auditoria de plugins instalados via Wordfence ou WPScan (gratuito/CLI). (2) Atualiza\u00e7\u00e3o imediata do core e plugins. (3) Implanta\u00e7\u00e3o de WAF (Cloudflare Pro a partir de USD 20/m\u00eas). (4) .htaccess bloqueando acesso a wp-admin por IP, ou autentica\u00e7\u00e3o 2FA via plugin. Esfor\u00e7o: 1 dia t\u00e9cnico. Custo de n\u00e3o fazer: defacement, ransomware ou extra\u00e7\u00e3o de base.\n \n \n\n \n \n\n \n\n \n\n \nFT-03\n \nPol\u00edtica de privacidade LGPD invis\u00edvel ou ausente\n \n Alto\n \n\n \n\n \n\n Evid\u00eancia observada\n \nInspe\u00e7\u00e3o das homepages de ambos os sites n\u00e3o revela link claro para \"Pol\u00edtica de Privacidade\", \"Aviso de Privacidade\", \"Termos de Uso\" ou \"Encarregado de Dados\". Padr\u00e3o LGPD-compliant exige link no rodap\u00e9, vis\u00edvel em todas as p\u00e1ginas.\n \n \n\n Risco real\n \nLGPD Art. 9\u00ba exige que o titular tenha acesso facilitado \u00e0s informa\u00e7\u00f5es sobre o tratamento de seus dados. Aus\u00eancia configura viola\u00e7\u00e3o prima facie, com agravante quando se trata de dado sens\u00edvel (Art. 5\u00ba II \u2014 cl\u00ednico). ANPD aplicou multas em 2024-2025 a operadores menores que esta opera\u00e7\u00e3o por essa exata raz\u00e3o.\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \n(1) Reda\u00e7\u00e3o imediata de pol\u00edtica de privacidade t\u00e9cnica, separada por finalidade (clube, consulta m\u00e9dica, marketing, EAD). (2) Publica\u00e7\u00e3o em URL dedicada e link no rodap\u00e9. (3) Nomea\u00e7\u00e3o formal e p\u00fablica do Encarregado de Tratamento de Dados (DPO) com canal de contato. (4) Banner de consentimento de cookies conforme Resolu\u00e7\u00e3o ANPD CD/ANPD n\u00ba 4/2023. Esfor\u00e7o: 2 semanas (advogado especializado + implementa\u00e7\u00e3o t\u00e9cnica). Investimento: R$ 5\u201315 mil.\n \n \n\n \n \n\n \n\n \n\n \nFT-04\n \nProv\u00e1vel aus\u00eancia de Content Security Policy (CSP)\n \n M\u00e9dio\n \n\n \n\n \n\n Evid\u00eancia observada\n \nWordPress padr\u00e3o n\u00e3o vem com header Content-Security-Policy. Sem evid\u00eancia de plugin de hardening (Sucuri Security, MalCare) ou configura\u00e7\u00e3o no servidor.\n \n \n\n Risco real\n \nPlugin comprometido por XSS armazenado consegue exfiltrar dados de formul\u00e1rio (incluindo CPF, CNH, dado de cart\u00e3o se houver) para dom\u00ednio externo controlado pelo atacante. CSP \u00e9 a \u00fanica defesa efetiva contra esse vetor.\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \nImplementar CSP estrita com script-src 'self' + nonces, connect-src limitado, frame-ancestors 'none'. Validar via securityheaders.com (target: nota A+). Esfor\u00e7o: 4\u20138 horas com ajustes finos para n\u00e3o quebrar plugins.\n \n \n\n \n \n\n \n\n \n\n \nFT-05\n \nProv\u00e1vel aus\u00eancia de HSTS (Strict-Transport-Security)\n \n M\u00e9dio\n \n\n \n\n \n\n Evid\u00eancia observada\n \nWordPress + provider de hospedagem padr\u00e3o brasileiro raramente vem com HSTS preload. Sem header Strict-Transport-Security: max-age=63072000; includeSubDomains; preload.\n \n \n\n Risco real\n \nPrimeiro acesso do paciente por HTTP (digitando medicoonlinesaude.med.br sem https://) \u00e9 vulner\u00e1vel a intercepta\u00e7\u00e3o por atacante na mesma rede Wi-Fi (cafeteria, aeroporto, condom\u00ednio). Em telemedicina isso \u00e9 especialmente s\u00e9rio \u2014 credencial e dado cl\u00ednico em tr\u00e2nsito.\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \nHabilitar HSTS no servidor + submiss\u00e3o ao HSTS Preload List do Chromium. Esfor\u00e7o: 2 horas. Custo: zero.\n \n \n\n \n \n\n \n\n \n\n \nFT-06\n \nBanner de consentimento de cookies LGPD ausente\n \n M\u00e9dio\n \n\n \n\n \n\n Evid\u00eancia observada\n \nAcesso aos sites n\u00e3o dispara banner de consentimento granular (anal\u00edtico, marketing, funcional). N\u00e3o h\u00e1 controle de opt-in/opt-out vis\u00edvel.\n \n \n\n Risco real\n \nResolu\u00e7\u00e3o ANPD CD/ANPD n\u00ba 4/2023 + PL 2.338/2023 + parecer t\u00e9cnico ANPD sobre cookies (2023) tornaram banner granular obrigat\u00f3rio. Opera\u00e7\u00e3o que dispara pixel Meta antes do consentimento expl\u00edcito est\u00e1 em viola\u00e7\u00e3o direta.\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \nImplantar Consent Management Platform (CookieYes, OneTrust, Adopt). Bloquear scripts de marketing por padr\u00e3o; s\u00f3 carregar ap\u00f3s consentimento expl\u00edcito. Esfor\u00e7o: 1 dia. Custo: USD 10\u201350/m\u00eas na faixa popular.\n \n \n\n \n \n\n \n\n \n\n \nFT-07\n \nArquivo /.well-known/security.txt ausente\n \n Baixo\n \n\n \n\n \n\n Evid\u00eancia observada\n \nN\u00e3o h\u00e1 canal de divulga\u00e7\u00e3o respons\u00e1vel de vulnerabilidade. RFC 9116 padroniza /.well-known/security.txt como ponto de contato para pesquisador de seguran\u00e7a que descobre falha.\n \n \n\n Risco real\n \nPesquisador honesto que descobre falha n\u00e3o encontra como reportar. Vai para imprensa, Twitter, ou venda no underground. A falha vai ser explorada antes de ser corrigida.\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \nPublicar security.txt com email dedicado, pol\u00edtica de divulga\u00e7\u00e3o, idioma preferido, validade. Esfor\u00e7o: 30 minutos.\n \n \n\n \n \n\n \n\n \n\n \nFT-08\n \nPoss\u00edvel mistura de HTTP e HTTPS em assets (\"mixed content\")\n \n Baixo\n \n\n \n\n \n\n Evid\u00eancia observada\n \nComum em WordPress migrado para HTTPS sem search-and-replace na base de dados. Imagens e scripts referenciados por http:// em vez de // ou https://.\n \n \n\n Risco real\n \nBrowser exibe \"conex\u00e3o n\u00e3o totalmente segura\". Confian\u00e7a degradada, especialmente em telemedicina. Some assets podem nem carregar em browsers modernos com Mixed Content blocking.\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \nPlugin \"Better Search Replace\" no WP-Admin substituindo http:// por https:// na base. Esfor\u00e7o: 1 hora.\n \n \n\n \n \n\n \n\n \n\n \nFT-09\n \nFormul\u00e1rios sem prote\u00e7\u00e3o anti-bot (reCAPTCHA / hCaptcha)\n \n Baixo\n \n\n \n\n \n\n Evid\u00eancia observada\n \nFormul\u00e1rio de contato e cadastro sem valida\u00e7\u00e3o anti-bot vis\u00edvel. Spam scrapers que rondam sites de sa\u00fade e benef\u00edcios para coletar lead de revenda.\n \n \n\n Risco real\n \nLead lixo entrando na base contamina atribui\u00e7\u00e3o (engana decis\u00e3o de verba), gera fila de SAC, e pode at\u00e9 disparar alerta de fraude no gateway de pagamento se houver tentativa automatizada de checkout.\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \nreCAPTCHA v3 (invis\u00edvel, baseado em score) integrado via plugin. Esfor\u00e7o: 2 horas.\n \n \n\n \n \n\n \n\n \n\n \nFT-10\n \nBackup e plano de recupera\u00e7\u00e3o de desastre n\u00e3o evidenciados\n \n Baixo\n \n\n \n\n \n\n Evid\u00eancia observada\n \nOpera\u00e7\u00e3o enxuta com WordPress + S3 raramente tem backup automatizado independente, snapshot RPO/RTO definido, ou plano de continuidade documentado.\n \n \n\n Risco real\n \nRansomware no servidor WP destr\u00f3i opera\u00e7\u00e3o por dias ou semanas. CFM exige preserva\u00e7\u00e3o de prontu\u00e1rio por 20 anos \u2014 perda permanente \u00e9 viola\u00e7\u00e3o. ANPD multa por incidente de seguran\u00e7a que afeta titulares.\n \n \n\n \n\n Recomenda\u00e7\u00e3o\n \nBackup di\u00e1rio automatizado para S3 com versionamento + reten\u00e7\u00e3o 365 dias. Snapshot semanal cifrado em regi\u00e3o distinta. Documento de plano de continuidade com RTO m\u00e1ximo. Esfor\u00e7o: 1 semana.\n \n \n\n \n\n\n\n\n\n \n\n\n \n\n \n4.0 \u2014 FALHAS DE ABORDAGEM COMERCIAL E UX\n \nOnde a opera\u00e7\u00e3o deixa dinheiro na mesa sem perceber.\n \n\n Os pontos abaixo s\u00e3o, em conjunto, mais relevantes financeiramente que os pontos t\u00e9cnicos da se\u00e7\u00e3o 3.0. S\u00e3o os ajustes que mudam taxa de convers\u00e3o, ticket m\u00e9dio, reten\u00e7\u00e3o e LTV \u2014 tipicamente em ordens de grandeza superiores aos custos de implementa\u00e7\u00e3o.\n \n \n\n \n \n\n \n\n \n\n \nFA-01\n \nCTA \u00fanico e fraco \u2014 todos os caminhos v\u00e3o para o mesmo WhatsApp humano\n \n Alto\n \n \n\n A homepage da Mais Benef\u00edcios para Todos tem como CTA principal \"Entre em contato com a nossa central de atendimento pelo WhatsApp e fa\u00e7a o seu cadastro.\" Isso transforma o site em funil-zero: cliente pronto pra comprar n\u00e3o consegue comprar direto, \u00e9 jogado pro WhatsApp humano. O atendente faz, sucessivamente: discovery, qualifica\u00e7\u00e3o, venda, cadastro, recolhimento de CPF/dados, gera\u00e7\u00e3o de boleto. Cada etapa \u00e9 gargalo e ponto de abandono. Convers\u00e3o t\u00edpica desse desenho fica em 5-10% do que poderia ser com checkout self-service.\n \n \n\n Recomenda\u00e7\u00e3o\n \nImplantar funil self-service \u2014 landing \u2192 sele\u00e7\u00e3o de plano \u2192 CPF + dados \u2192 pagamento PIX/cart\u00e3o \u2192 ativa\u00e7\u00e3o. WhatsApp continua como suporte e fallback, n\u00e3o como funil \u00fanico. Lift de convers\u00e3o t\u00edpico: 3 a 5\u00d7.\n \n \n\n \n \n\n \n\n \n\n \nFA-02\n \nSem pre\u00e7o vis\u00edvel na homepage\n \n Alto\n \n \n\n Em segmento popular, pre\u00e7o \u00e9 o atributo de decis\u00e3o #1. Cart\u00e3o de TODOS exibe R$ 33,40 na primeira dobra. Vale Sa\u00fade Sempre R$ 34,90. Cart\u00e3o Sempre Bem R$ 29,90. Mais Benef\u00edcios para Todos esconde pre\u00e7o, for\u00e7a WhatsApp pra perguntar \u2014 e nesse atrito, perde a maior parte dos visitantes que estavam comparando. Esconder pre\u00e7o n\u00e3o evita compara\u00e7\u00e3o; transfere a compara\u00e7\u00e3o para o concorrente que mostra.\n \n \n\n Recomenda\u00e7\u00e3o\n \nTabela de pre\u00e7os vis\u00edvel, com plano individual e familiar, taxa de ades\u00e3o clara, e o que est\u00e1 inclu\u00eddo em cada plano. Permitir compara\u00e7\u00e3o direta. Lift de convers\u00e3o: 1.5 a 2\u00d7.\n \n \n\n \n \n\n \n\n \n\n \nFA-03\n \nAus\u00eancia total de prova social e m\u00e9tricas de credibilidade\n \n Alto\n \n \n\n N\u00e3o h\u00e1 depoimento, n\u00famero de fam\u00edlias atendidas, cidades cobertas, tempo de mercado, parceiros credenciados vis\u00edveis, pr\u00eamios ou certifica\u00e7\u00f5es. Cliente popular toma decis\u00e3o por \"a vizinha tem\" e n\u00e3o por argumento abstrato. Cart\u00e3o de TODOS exibe \"5 milh\u00f5es de fam\u00edlias\" na home. Vale Sa\u00fade exibe \"presente em 5 mil cidades\". Mais Benef\u00edcios para Todos n\u00e3o d\u00e1 ao visitante motivo objetivo para confiar.\n \n \n\n Recomenda\u00e7\u00e3o\n \nBloco de prova social na home: n\u00famero de assinantes, anos de mercado, top 3 cidades, top 5 marcas parceiras (com logo), 3 a 5 depoimentos com foto e nome. Aumenta confian\u00e7a em 30 a 50% segundo padr\u00e3o de A/B testing do setor.\n \n \n\n \n \n\n \n\n \n\n \nFA-04\n \nSem listagem da rede credenciada e dos benef\u00edcios concretos\n \n M\u00e9dio\n \n \n\n Site fala em \"sa\u00fade, seguros, educa\u00e7\u00e3o e lazer\" mas n\u00e3o lista qual hospital, qual farm\u00e1cia, qual escola, qual clube de lazer. Cliente popular precisa ver o nome da farm\u00e1cia onde ele j\u00e1 compra. Sem isso, a oferta vira abstra\u00e7\u00e3o. Concorrentes regionais mais bem-posicionados publicam buscador \"Onde usar\" com filtro por CEP.\n \n \n\n Recomenda\u00e7\u00e3o\n \nP\u00e1gina dedicada de \"Rede credenciada\" com busca por categoria (cl\u00ednicas, farm\u00e1cias, dentistas, laborat\u00f3rios, escolas) + filtro por cidade/CEP. Atualizada por equipe interna ou vinda direta de planilha.\n \n \n\n \n \n\n \n\n \n\n \nFA-05\n \nIdentifica\u00e7\u00e3o do m\u00e9dico respons\u00e1vel t\u00e9cnico ausente no M\u00e9dico Online Sa\u00fade\n \n Alto\n \n \n\n Site n\u00e3o exibe foto, nome completo e CRM-MG do diretor t\u00e9cnico m\u00e9dico. CFM 2.314/2022 Art. 13 exige identifica\u00e7\u00e3o clara em qualquer comunica\u00e7\u00e3o ao paciente \u2014 e o p\u00fablico da home \u00e9 o paciente. Beyond compliance, isso \u00e9 trust signal #1 em telemedicina: paciente compra confian\u00e7a no nome de um m\u00e9dico, n\u00e3o num site gen\u00e9rico.\n \n \n\n Recomenda\u00e7\u00e3o\n \nBloco \"Sobre n\u00f3s / Equipe m\u00e9dica\" com foto + nome + CRM + especialidade do diretor t\u00e9cnico e top 5 m\u00e9dicos da plataforma. Resolve compliance + trust em uma s\u00f3 a\u00e7\u00e3o.\n \n \n\n \n \n\n \n\n \n\n \nFA-06\n \nFAQ ausente \u2014 todo volume de pergunta cai no WhatsApp\n \n M\u00e9dio\n \n \n\n Opera\u00e7\u00e3o popular tem 8 a 12 perguntas que se repetem (car\u00eancia? aposentado paga? como cancelar? funciona em outra cidade? telemedicina \u00e9 ilimitada? abrange dependentes?). Sem FAQ na home, esse volume todo cai no WhatsApp do Sergio \u2014 agravando FA-01. Cada pergunta evitada no FAQ \u00e9 um atendente que sobra para vender, n\u00e3o para responder.\n \n \n\n Recomenda\u00e7\u00e3o\n \nSe\u00e7\u00e3o FAQ na home + p\u00e1gina dedicada com schema.org/FAQPage para SEO. Reduz volume de WhatsApp em 30 a 40%, libera atendente para venda.\n \n \n\n \n \n\n \n\n \n\n \nFA-07\n \nFluxo \"cadastro \u2192 agendamento \u2192 pagamento \u2192 atendimento\" tem ordem sub\u00f3tima\n \n M\u00e9dio\n \n \n\n O passo declarado pelo M\u00e9dico Online Sa\u00fade for\u00e7a o paciente a pagar antes de saber se h\u00e1 m\u00e9dico dispon\u00edvel no hor\u00e1rio desejado. Quem paga e descobre que precisa esperar 3 dias pede reembolso. Padr\u00e3o moderno de telemedicina: ver agenda primeiro, escolher hor\u00e1rio, ent\u00e3o pagar \u2014 taxa de reembolso cai de 8-12% para 2-3%.\n \n \n\n Recomenda\u00e7\u00e3o\n \nInverter ordem para: ver disponibilidade \u2192 selecionar slot \u2192 cadastro m\u00ednimo \u2192 pagamento \u2192 confirma\u00e7\u00e3o imediata + entrada na sala virtual.\n \n \n\n \n \n\n \n\n \n\n \nFA-08\n \nSem agenda vis\u00edvel, sem listagem de especialidades\n \n Baixo\n \n \n\n Site fala em \"especialistas via agendamento\" mas n\u00e3o lista quais especialidades est\u00e3o dispon\u00edveis, quais m\u00e9dicos comp\u00f5em o quadro, qual a disponibilidade t\u00edpica da semana. Cria fric\u00e7\u00e3o de descoberta \u2014 paciente que precisa de cardiologista n\u00e3o sabe se vai encontrar.\n \n \n\n Recomenda\u00e7\u00e3o\n \nP\u00e1gina \"Especialidades\" com lista das 10 a 15 ofertadas, tempo m\u00e9dio de espera por especialidade, e link direto para agenda.\n \n \n\n \n \n\n \n\n \n\n \nFA-09\n \nSem integra\u00e7\u00e3o vis\u00edvel com farm\u00e1cia ou laborat\u00f3rio\n \n Baixo\n \n \n\n Players modernos integram teleconsulta + receita digital + entrega de medicamento (modelo Memed+Drogasil, MediQuo+Araujo, Conexa+Drogaraia). LTV t\u00edpico de cliente que usa fluxo integrado \u00e9 30 a 50% maior. M\u00e9dico Online Sa\u00fade tem o ingrediente principal (telemedicina vertical pr\u00f3pria) mas n\u00e3o monetiza o peda\u00e7o a jusante (entrega de medicamento, exames laboratoriais a domic\u00edlio).\n \n \n\n Recomenda\u00e7\u00e3o\n \nParceria com rede farmac\u00eautica regional MG (Pague Menos, Farm\u00e1cias Indianas, Drogaria Araujo) + integra\u00e7\u00e3o de receita digital e cupom de desconto. Pode virar at\u00e9 10-15% de receita adicional sem aumento de CAC.\n \n \n\n \n \n\n \n\n \n\n \nFA-10\n \nEAD/cursos sem evid\u00eancia de jornada do aluno e reten\u00e7\u00e3o\n \n Baixo\n \n \n\n A opera\u00e7\u00e3o tem bra\u00e7o EAD mencionado mas n\u00e3o exposto na home. Plataformas EAD populares no Brasil sofrem 60-80% de evas\u00e3o pr\u00e9-conclus\u00e3o. Sem dashboard de progresso, lembrete por WhatsApp/email e gamifica\u00e7\u00e3o b\u00e1sica, o curso \u00e9 vendido e abandonado.\n \n \n\n Recomenda\u00e7\u00e3o\n \nP\u00e1gina dedicada do EAD com cat\u00e1logo, jornada vis\u00edvel (\"aula 3 de 12\"), lembretes autom\u00e1ticos por inatividade e certificado digital ao final. Reduz evas\u00e3o em 30-50%.\n \n \n\n \n\n\n\n\n\n \n\n\n \n\n \n5.0 \u2014 GAPS DE COMPLIANCE REGULAT\u00d3RIO\n \nPontos onde a opera\u00e7\u00e3o est\u00e1, hoje, tecnicamente em viola\u00e7\u00e3o.\n \n\n Esta \u00e9 a se\u00e7\u00e3o que merece aten\u00e7\u00e3o m\u00e1xima do Sergio. Cada gap abaixo, isoladamente, pode ser objeto de den\u00fancia ao CRM-MG, \u00e0 ANPD, ao PROCON ou ao Minist\u00e9rio P\u00fablico \u2014 e tem precedente recente de aplica\u00e7\u00e3o efetiva. Implementa\u00e7\u00e3o de remedia\u00e7\u00e3o custa fra\u00e7\u00e3o do que custa um processo administrativo j\u00e1 instaurado.\n \n \n\n \n\n\n \n\n \n\n \n\n \nCO-01 \u00b7 CFM 2.314/2022 + Registro.br\n \nDom\u00ednio .med.br sem respons\u00e1vel t\u00e9cnico m\u00e9dico publicado\n \n Cr\u00edtico\n \n \nO dom\u00ednio .med.br s\u00f3 pode ser registrado por m\u00e9dico ou pessoa jur\u00eddica com respons\u00e1vel t\u00e9cnico m\u00e9dico ativo no CRM. Art. 13 da CFM 2.314/2022 exige identifica\u00e7\u00e3o clara do m\u00e9dico respons\u00e1vel em qualquer comunica\u00e7\u00e3o ao paciente. Art. 17 exige que a pessoa jur\u00eddica prestadora de telemedicina tenha sede em territ\u00f3rio brasileiro e esteja inscrita no CRM do estado da sede, com respons\u00e1vel t\u00e9cnico m\u00e9dico inscrito no mesmo conselho. Sem essa publica\u00e7\u00e3o vis\u00edvel, h\u00e1 risco de suspens\u00e3o administrativa do dom\u00ednio pelo Registro.br e abertura de processo \u00e9tico no CRM-MG. Custo do gap: 0. Custo de remedia\u00e7\u00e3o: nomea\u00e7\u00e3o formal e publica\u00e7\u00e3o na home \u2014 1 semana, R$ 0\u20132 mil.\n \n\n \n\n \n\n \n\n \nCO-02 \u00b7 CFM 2.299/2021 + ICP-Brasil\n \nReceita m\u00e9dica entregue por WhatsApp sem assinatura digital de validade jur\u00eddica\n \n Cr\u00edtico\n \n \nA Resolu\u00e7\u00e3o CFM 2.299/2021 e a regulamenta\u00e7\u00e3o subsequente sobre prescri\u00e7\u00e3o eletr\u00f4nica exigem que receita m\u00e9dica digital seja assinada com certificado ICP-Brasil A1 ou A3 (ou GOV.BR n\u00edvel ouro/prata, conforme atualiza\u00e7\u00e3o ANPD-CFM). Receita em PDF simples enviada por WhatsApp n\u00e3o tem validade legal \u2014 farm\u00e1cia que recusa est\u00e1 respaldada juridicamente, paciente que processa o m\u00e9dico tem fundamento, e o CRM pode abrir processo \u00e9tico contra o profissional respons\u00e1vel. Risco compounding: cada receita emitida nesse formato \u00e9 evid\u00eancia futura.\n \n\n \n\n \n\n \n\n \nCO-03 \u00b7 LGPD Art. 5\u00ba II + Art. 11\n \nTratamento de dado cl\u00ednico sens\u00edvel sem segrega\u00e7\u00e3o de bases legais vis\u00edvel\n \n Alto\n \n \nA opera\u00e7\u00e3o trata simultaneamente: (a) dado pessoal de assinante \u2014 base legal contratual (LGPD Art. 7\u00ba V); (b) dado pessoal sens\u00edvel cl\u00ednico \u2014 exige consentimento espec\u00edfico (Art. 11 II \"a\") ou tutela da sa\u00fade (Art. 11 II \"f\"). Cada um exige base legal distinta, finalidade declarada distinta, e ROPA (Registro de Opera\u00e7\u00f5es de Tratamento de Dados Pessoais) separado. Cruzar dado cl\u00ednico com dado contratual para campanha de upsell sem consentimento espec\u00edfico \u00e9 viola\u00e7\u00e3o direta do Art. 11. ANPD aplicou multas de 2% do faturamento em casos similares no setor sa\u00fade em 2024-2025.\n \n\n \n\n \n\n \n\n \nCO-04 \u00b7 LGPD Art. 9\u00ba + Art. 41\n \nPol\u00edtica de privacidade ausente da home + Encarregado (DPO) n\u00e3o nomeado publicamente\n \n Alto\n \n \nLGPD Art. 9\u00ba exige acesso facilitado \u00e0s informa\u00e7\u00f5es sobre tratamento. Art. 41 exige nomea\u00e7\u00e3o e divulga\u00e7\u00e3o p\u00fablica do Encarregado (DPO). Sem ambos vis\u00edveis no rodap\u00e9 do site ou em URL dedicada, h\u00e1 viola\u00e7\u00e3o prima facie. Opera\u00e7\u00f5es enxutas costumam ignorar at\u00e9 a primeira den\u00fancia, mas o setor de sa\u00fade popular \u00e9 alvo priorit\u00e1rio da ANPD em 2025-2026 segundo plano de fiscaliza\u00e7\u00e3o publicado.\n \n\n \n\n \n\n \n\n \nCO-05 \u00b7 CFM 1.821/2007 + NGS2\n \nPadr\u00e3o de prontu\u00e1rio eletr\u00f4nico n\u00e3o evidenciado\n \n Alto\n \n \nResolu\u00e7\u00e3o CFM 1.821/2007 + manual SBIS/CFM exigem prontu\u00e1rio eletr\u00f4nico em padr\u00e3o NGS2 (N\u00edvel de Garantia de Seguran\u00e7a 2), com criptografia, controle de acesso, registro de quem leu o qu\u00ea e quando, reten\u00e7\u00e3o m\u00ednima de 20 anos, e backup independente. Opera\u00e7\u00e3o que armazena prontu\u00e1rio em S3 p\u00fablico (FT-01) provavelmente n\u00e3o atende NGS2. Auditoria do CFM em telemedicina passou a verificar isso explicitamente em 2024.\n \n\n \n\n \n\n \n\n \nCO-06 \u00b7 CFM 2.314/2022 Art. 6 \u00a72\u00ba\n \nTelemedicina em doen\u00e7a cr\u00f4nica sem consulta presencial em at\u00e9 180 dias\n \n M\u00e9dio\n \n \nPara acompanhamento de paciente cr\u00f4nico (hipertenso, diab\u00e9tico, dislipid\u00eamico \u2014 base demogr\u00e1fica grande do clube popular), CFM 2.314 exige consulta presencial em intervalos n\u00e3o superiores a 180 dias. Opera\u00e7\u00e3o 100% remota n\u00e3o atende \u2014 exige parceria f\u00edsica com cl\u00ednicas presenciais. N\u00e3o h\u00e1 evid\u00eancia p\u00fablica dessa estrutura.\n \n\n \n\n \n\n \n\n \nCO-07 \u00b7 CFM 2.314/2022 Art. 15\n \nConsentimento livre e esclarecido (TCLE) em telemedicina n\u00e3o estruturado\n \n M\u00e9dio\n \n \nArt. 15 da Resolu\u00e7\u00e3o exige Termo de Consentimento Livre e Esclarecido espec\u00edfico para telemedicina, anexado ao SRES (Sistema de Registro Eletr\u00f4nico de Sa\u00fade) do paciente, antes da primeira consulta. TCLE gen\u00e9rico de \"termo de uso\" n\u00e3o atende. Documento separado, com idioma simples, registro de leitura e aceite assinado eletronicamente.\n \n\n \n\n \n\n \n\n \nCO-08 \u00b7 CDC Art. 49\n \nDireito de arrependimento em contrata\u00e7\u00e3o \u00e0 dist\u00e2ncia (cooling-off de 7 dias)\n \n M\u00e9dio\n \n \nContrata\u00e7\u00e3o fora do estabelecimento (telefone, web, domiciliar via vendedor externo) d\u00e1 ao consumidor 7 dias para arrependimento sem \u00f4nus. Opera\u00e7\u00e3o que cobra primeira mensalidade ou taxa de ades\u00e3o e n\u00e3o devolve em at\u00e9 7 dias \u00fateis est\u00e1 em viola\u00e7\u00e3o. PROCON tem aplicado multas e o CDC d\u00e1 ao consumidor direito a indeniza\u00e7\u00e3o. Implementa\u00e7\u00e3o automatizada blinda a opera\u00e7\u00e3o inteira.\n \n\n \n\n \n\n \n\n \nCO-09 \u00b7 ANS \u2014 fronteira com plano de sa\u00fade\n \nRisco de descaracteriza\u00e7\u00e3o como \"plano de sa\u00fade irregular\"\n \n M\u00e9dio\n \n \nClube de descontos n\u00e3o regulado pela ANS, mas a fronteira entre \"clube de benef\u00edcios\" e \"plano de sa\u00fade irregular\" \u00e9 estreita. ANS multou players em 2023-2024 por divulgar como se fosse plano de sa\u00fade sem o ser. Riscos: usar palavras como \"plano\", \"conv\u00eanio\", \"operadora\", \"car\u00eancia\" no marketing; oferecer \"rede credenciada\" com pagamento direto; assumir risco financeiro pela utiliza\u00e7\u00e3o. Comunica\u00e7\u00e3o precisa ser cir\u00fargica.\n \n\n \n\n \n\n \n\n \nCO-10 \u00b7 LGPD Art. 50 \u2014 Boas Pr\u00e1ticas e Governan\u00e7a\n \nPrograma de governan\u00e7a de dados ausente\n \n Baixo\n \n \nArt. 50 incentiva (e em pr\u00e1tica a ANPD passou a exigir, em fiscaliza\u00e7\u00e3o, em opera\u00e7\u00f5es que tratam dado sens\u00edvel) programa formal de governan\u00e7a: pol\u00edtica, treinamento de equipe, plano de resposta a incidente, gest\u00e3o de risco, auditoria interna, registro do CMP (Compliance Management Program). Opera\u00e7\u00e3o enxuta sem isso fica vulner\u00e1vel a den\u00fancia interna (ex-funcion\u00e1rio) e a auditoria reativa.\n \n\n \n\n \n\n \n\n \n \n\n \nLeitura agregada do risco regulat\u00f3rio\n \n\n Os gaps CO-01 a CO-05 (em destaque) comp\u00f5em, juntos, o quadro de uma opera\u00e7\u00e3o que est\u00e1 formalmente em viola\u00e7\u00e3o simult\u00e2nea de CFM, ANPD/LGPD e Registro.br. Em 2024-2025 a ANPD passou a operar por den\u00fancia em vez de fiscaliza\u00e7\u00e3o programada \u2014 o que significa que basta um ex-funcion\u00e1rio, ex-cliente ou concorrente apresentar evid\u00eancia para o processo administrativo abrir. A tranquilidade operacional do Sergio depende, hoje, de nenhuma den\u00fancia chegar. Isso n\u00e3o \u00e9 estrat\u00e9gia sustent\u00e1vel.\n \n \n \n \n\n \n\n\n\n\n\n \n\n\n \n\n \n6.0 \u2014 POSICIONAMENTO COMPETITIVO\n \nOnde a opera\u00e7\u00e3o est\u00e1 hoje, no mapa do setor.\n \n\n O setor de clube de sa\u00fade popular + telemedicina vertical \u00e9 hoje fragmentado entre um l\u00edder claro (Cart\u00e3o de TODOS), tr\u00eas players nacionais com distribui\u00e7\u00e3o via operadora (Vivo Vale Sa\u00fade, TIM-Cart\u00e3o de TODOS, Up Care), e centenas de operadores regionais \u2014 onde a opera\u00e7\u00e3o do Sergio se localiza. A janela competitiva est\u00e1 se fechando rapidamente.\n \n \n\n \n\n \n\n \n \n Player\n Posicionamento\n Mensalidade\n Diferencial declarado\n Vulnerabilidade\n \n \n \n \n Cart\u00e3o de TODOS\n L\u00edder nacional\n R$ 33,40\n 500+ franquias f\u00edsicas, AmorSa\u00fade, parceria TIM\n Marca dependente de m\u00eddia massiva\n \n \n Vale Sa\u00fade Sempre\n Distribui\u00e7\u00e3o via Vivo\n R$ 34,90 / 44,90\n Capilaridade da operadora\n Ref\u00e9m da rela\u00e7\u00e3o com a Vivo\n \n \n Cart\u00e3o Sempre Bem\n Sa\u00fade popular nacional\n R$ 29,90\n Telemedicina ilimitada + 25 mil farm\u00e1cias\n Marca menor, sem prova social robusta\n \n \n SPASS\n Regional MG (concorrente direto)\n ~R$ 35\u201345\n Telemedicina + descontos em BH\n Stack tecnol\u00f3gico observ\u00e1vel fraco\n \n \n Up Care Telemedicina\n Telemedicina premium familiar\n R$ 99,90\n Ilimitado + especialistas\n Pre\u00e7o afasta classe popular\n \n \n Mais Benef\u00edcios para Todos\n Regional MG popular\n (n\u00e3o p\u00fablico)\n Sa\u00fade + seguros + educa\u00e7\u00e3o + lazer + telemedicina vertical pr\u00f3pria\n Depend\u00eancia total de um n\u00famero WhatsApp\n \n \n \n \n\n \n\n\n \n\n \n\n \n \nVantagens competitivas defens\u00e1veis\n \n \n\n \n\u2192Verticaliza\u00e7\u00e3o pr\u00f3pria da telemedicina \u2014 n\u00e3o terceiriza. Controle total de margem e dado cl\u00ednico. Plataforma como ela est\u00e1 hoje vale mais nos pr\u00f3ximos 3 anos do que valia nos \u00faltimos 3.\n \n\u2192Capacidade de cross-sell em quatro frentes \u2014 sa\u00fade + seguros + educa\u00e7\u00e3o + lazer + EAD. Cliente \u00fanico, m\u00faltiplas linhas de receita.\n \n\u2192Opera\u00e7\u00e3o local e enxuta \u2014 capacidade de decis\u00e3o r\u00e1pida que players nacionais n\u00e3o t\u00eam. Pode customizar para nicho regional MG/Sudeste em semanas.\n \n\u2192Dom\u00ednio .med.br \u2014 credibilidade institucional que .com.br n\u00e3o tem em sa\u00fade, uma vez resolvido o gap CO-01.\n \n \n\n \n\n \n\n \n \nVulnerabilidades estruturais\n \n \n\n \n\u2192Escala \u2014 n\u00e3o compete com Cart\u00e3o de TODOS em m\u00eddia nacional. Diferencia\u00e7\u00e3o tem que ser por proximidade e profundidade vertical, n\u00e3o amplitude.\n \n\u2192Reconhecimento de marca \u2014 baixo. Cliente popular pesquisa \"cart\u00e3o de todos\" e descobre 5 alternativas; Mais Benef\u00edcios para Todos n\u00e3o est\u00e1 entre elas.\n \n\u2192Depend\u00eancia de um \u00fanico canal \u2014 todo o funil colapsa se WhatsApp Business for suspenso (acontece com frequ\u00eancia por excesso de mensagens).\n \n\u2192Compliance regulat\u00f3rio descoberto \u2014 uma \u00fanica den\u00fancia pode interditar. Concorrentes maiores j\u00e1 blindaram esse flanco.\n \n \n\n \n\n \n\n \n\n \n \n\n \nJanela competitiva\n \n\n O movimento dominante de 2025-2026 no setor \u00e9 verticaliza\u00e7\u00e3o + integra\u00e7\u00e3o com farm\u00e1cia + EAD para fideliza\u00e7\u00e3o. Players regionais que n\u00e3o fizerem isso at\u00e9 2027 ser\u00e3o consolidados ou perder\u00e3o escala. A opera\u00e7\u00e3o do Sergio tem todos os ingredientes (telemedicina vertical, EAD, base regional) \u2014 o que falta \u00e9 a camada de orquestra\u00e7\u00e3o que conecta esses ingredientes numa s\u00f3 experi\u00eancia. \u00c9 exatamente o problema que Software Lotus existe para resolver.\n \n \n \n \n\n \n\n\n\n\n\n \n\n\n \n\n \n7.0 \u2014 PLANO DE REMEDIA\u00c7\u00c3O PRIORIZADO\n \nO que fazer, em qual ordem, e com que esfor\u00e7o.\n \n\n Plano em tr\u00eas horizontes. Cada item est\u00e1 dimensionado em esfor\u00e7o e custo aproximado, com base na sequ\u00eancia can\u00f4nica de implementa\u00e7\u00e3o para opera\u00e7\u00f5es de sa\u00fade popular do porte da analisada.\n \n \n\n \n\n \nHorizonte 1 \u00b7 Quick wins (pr\u00f3ximas 4 semanas)\n \n\n \n\n \n\n \nSemana 1\n \n\n \nRotacionar credencial AWS + auditar bucket S3 (FT-01)\n \n4\u20138 horas t\u00e9cnicas. Custo direto: R$ 0\u2013500 (caso precise de consultor AWS pontual).\n \n \n \n\n \nSemana 1\n \n\n \nPublicar identifica\u00e7\u00e3o do respons\u00e1vel t\u00e9cnico m\u00e9dico no M\u00e9dico Online Sa\u00fade (CO-01, FA-05)\n \nResolve gap regulat\u00f3rio cr\u00edtico + trust signal. Esfor\u00e7o: meio dia. Custo: R$ 0.\n \n \n \n\n \nSemana 1\u20132\n \n\n \nAtualizar WordPress + plugins + implantar WAF Cloudflare Pro (FT-02)\n \n1 dia t\u00e9cnico + USD 20/m\u00eas. Mitiga vetor #1 de invas\u00e3o.\n \n \n \n\n \nSemana 2\n \n\n \nImplantar pol\u00edtica de privacidade + DPO p\u00fablico + cookie banner (FT-03, FT-06, CO-04)\n \nAdvogado especializado + implementa\u00e7\u00e3o t\u00e9cnica. 2 semanas, R$ 5\u201315 mil one-time + USD 10/m\u00eas CMP.\n \n \n \n\n \nSemana 3\n \n\n \nHabilitar HSTS + CSP + security.txt (FT-04, FT-05, FT-07)\n \nHardening b\u00e1sico de servidor. 1 dia t\u00e9cnico, custo zero.\n \n \n \n\n \nSemana 3\u20134\n \n\n \nMigrar receita digital para certificado ICP-Brasil A1 (CO-02)\n \nContratar certificadora (Certisign, Serasa, Soluti) \u2014 R$ 200\u2013400/m\u00e9dico/ano. Integrar na plataforma de teleconsulta. Esfor\u00e7o: 1 semana t\u00e9cnica.\n \n \n \n \n \n\n \n\n \nHorizonte 2 \u00b7 M\u00e9dio prazo (3 meses)\n \n\n \n\n \n\n \nM\u00eas 1\u20132\n \n\n \nImplantar funil self-service de assinatura (FA-01, FA-02)\n \nLanding \u2192 sele\u00e7\u00e3o \u2192 cadastro \u2192 pagamento \u2192 ativa\u00e7\u00e3o. Lift de convers\u00e3o t\u00edpico: 3\u20135\u00d7. Custo: 6\u201310 semanas t\u00e9cnicas.\n \n \n \n\n \nM\u00eas 2\n \n\n \nEstruturar bases legais LGPD por finalidade + ROPA + DPIA telemedicina (CO-03)\n \nMapear cada tratamento de dado, definir base legal, separar consentimentos. Advogado + DPO. R$ 10\u201325 mil one-time.\n \n \n \n\n \nM\u00eas 2\u20133\n \n\n \nReformular fluxo de telemedicina: agenda primeiro \u2192 pagamento depois (FA-07)\n \nRedu\u00e7\u00e3o de pedido de reembolso de 8-12% para 2-3%. 4 semanas t\u00e9cnicas.\n \n \n \n\n \nM\u00eas 3\n \n\n \nMigrar prontu\u00e1rio para padr\u00e3o NGS2/SBIS-CFM (CO-05)\n \nPode exigir refactor da camada de armazenamento. 8\u201312 semanas t\u00e9cnicas. Investimento m\u00e9dio R$ 50\u2013150 mil dependendo da arquitetura atual.\n \n \n \n\n \nM\u00eas 3\n \n\n \nBloco de prova social + rede credenciada vis\u00edvel + FAQ (FA-03, FA-04, FA-06)\n \nConvers\u00e3o t\u00edpica +30-50%. Esfor\u00e7o: 4 semanas mistas (conte\u00fado + dev).\n \n \n \n \n \n\n \n\n \nHorizonte 3 \u00b7 Estrutural (6\u201312 meses)\n \n\n \n\n \n\n \nM\u00eas 4\u20138\n \n\n \nSubstituir canal \u00fanico WhatsApp por orquestra\u00e7\u00e3o multi-canal real\n \nDesdobrar funil em vendas, agendamento, suporte e cobran\u00e7a como canais independentes. Combinar atendimento humano + automa\u00e7\u00e3o. Lift estimado: 2\u00d7 capacidade da equipe atual sem aumento de headcount.\n \n \n \n\n \nM\u00eas 6\u20139\n \n\n \nFechar parceria farmac\u00eautica com integra\u00e7\u00e3o de receita digital + cupom\n \nNegocia\u00e7\u00e3o comercial + integra\u00e7\u00e3o t\u00e9cnica. Receita adicional 10\u201315% sem aumento de CAC. (FA-09)\n \n \n \n\n \nM\u00eas 6\u201312\n \n\n \nReposicionar EAD como ferramenta de reten\u00e7\u00e3o + cross-sell\n \nCursos vinculados a benef\u00edcios do clube; treinamento conversacional da equipe interna; redu\u00e7\u00e3o de evas\u00e3o 30\u201350%. (FA-10)\n \n \n \n\n \nM\u00eas 8\u201312\n \n\n \nEstruturar modelo multi-tenant para potencial franquia / licenciamento\n \nPermite virar franqueador, fechar parceria com operadora regional, ou licenciar a plataforma para outros operadores. Opcionalidade estrat\u00e9gica que muda a tese de sa\u00edda do neg\u00f3cio em 5\u201310 anos.\n \n \n \n \n \n\n \n\n\n\n\n\n \n\n\n \n\n \n8.0 \u2014 CONCLUS\u00c3O E RECOMENDA\u00c7\u00d5ES\n \nLeitura s\u00eanior consolidada da opera\u00e7\u00e3o do Sergio.\n \n\n \n\n \n\n \n\n A opera\u00e7\u00e3o do Sergio \u00e9 o que melhor pode ser descrito como \"operador-empres\u00e1rio regional pragm\u00e1tico que construiu o que conseguiu, com o que tinha, e est\u00e1 agora num ponto de inflex\u00e3o\". Os pontos fortes (verticaliza\u00e7\u00e3o da telemedicina, base regional, multi-vertical clube + telemedicina + EAD) s\u00e3o reais e raros no setor. Os pontos fracos (canal \u00fanico, compliance descoberto, aus\u00eancia de funil self-service) s\u00e3o corrig\u00edveis em prazo curto a m\u00e9dio com investimento proporcional ao porte da opera\u00e7\u00e3o.\n \n \n\n Os cinco achados cr\u00edticos da se\u00e7\u00e3o 0.0 \u2014 exposi\u00e7\u00e3o AWS, dom\u00ednio .med.br sem respons\u00e1vel t\u00e9cnico, receita digital sem ICP-Brasil, WhatsApp saturado, mistura de bases legais LGPD \u2014 formam, juntos, o quadro de uma opera\u00e7\u00e3o que opera, hoje, com risco regulat\u00f3rio e operacional desproporcional ao seu tamanho. Esse quadro n\u00e3o \u00e9 incomum no setor de sa\u00fade popular brasileiro; \u00e9, na verdade, a regra. A diferen\u00e7a entre um operador que prospera e um que \u00e9 interditado \u00e9, geralmente, decidir corrigir antes da den\u00fancia chegar.\n \n \n\n Software Lotus existe para fechar exatamente esses cinco vetores numa s\u00f3 plataforma \u2014 capta\u00e7\u00e3o, atendimento, telemedicina, ensino e cobran\u00e7a orquestrados sob uma arquitetura \u00fanica, com compliance built-in, multi-canal nativo, voz como interface de configura\u00e7\u00e3o, e isolamento multi-tenant pronto para virar franquia. N\u00e3o \u00e9 venda de software. \u00c9 arquitetura de receita defens\u00e1vel.\n \n \n \n\n \n\n\n \n\n \n\n \n \nRecomenda\u00e7\u00e3o operacional\n \n \n\n Os 6 itens do Horizonte 1 (pr\u00f3ximas 4 semanas) s\u00e3o obrigat\u00f3rios e relativamente baratos, totalizando R$ 5\u201318 mil de investimento direto. S\u00e3o o piso m\u00ednimo de blindagem regulat\u00f3ria e t\u00e9cnica. Mesmo sem qualquer engajamento com Software Lotus, esses 6 itens devem ser executados imediatamente, com equipe interna ou consultoria pontual.\n \n \n\n \n\n \n\n \n \nPr\u00f3ximo passo proposto\n \n \n\n Diagn\u00f3stico Estrat\u00e9gico Software Lotus, 1 a 2 semanas, com escopo dirigido aos Horizontes 2 e 3 deste documento. Sa\u00edda: relat\u00f3rio executivo com prioriza\u00e7\u00e3o, custo por fase, ROI estimado por interven\u00e7\u00e3o. Sem amarra contratual antes do relat\u00f3rio. Custo do diagn\u00f3stico em si: a ser proposto ap\u00f3s calibra\u00e7\u00e3o inicial \u2014 historicamente entre R$ 8 mil e R$ 25 mil para opera\u00e7\u00f5es deste porte.\n \n \n\n \n\n \n\n\n\n\n\n \n\n\n \n\n\n \n\n \n\n \nSL\n \n\n \nSoftware Lotus\n \nAn\u00e1lise t\u00e9cnica e estrat\u00e9gica\n \n \n \n\n Documento confidencial preparado para discuss\u00e3o restrita entre Software Lotus e o destinat\u00e1rio. Reprodu\u00e7\u00e3o, distribui\u00e7\u00e3o ou cita\u00e7\u00e3o fora deste contexto n\u00e3o est\u00e1 autorizada.\n \n \n\n \n\n \nDisclaimer\n \n\n An\u00e1lise feita exclusivamente com fontes p\u00fablicas (sites institucionais, Registro.br whois, headers HTTP p\u00fablicos, regula\u00e7\u00e3o CFM e ANPD). Nenhuma a\u00e7\u00e3o invasiva, pentest ativo ou tentativa de acesso n\u00e3o-autorizado foi conduzida. Todos os achados representam o que qualquer analista s\u00eanior identifica em inspe\u00e7\u00e3o p\u00fablica. Hip\u00f3teses est\u00e3o sinalizadas como tal e devem ser validadas com o operador antes de a\u00e7\u00e3o corretiva.\n \n \n\n \n\n \n\n\n \n\n \n\u00a9 2026 Software Lotus \u00b7 Documento confidencial \u00b7 Vers\u00e3o 1.0 \u00b7 Maio de 2026\n \nPreparado para Sergio\n \n\n \n\n\n\n lucide.createIcons();\n\n const revealEls = document.querySelectorAll('.reveal');\n const obs = new IntersectionObserver((entries) => {\n entries.forEach((entry) => {\n if (entry.isIntersecting) {\n entry.target.classList.add('in');\n obs.unobserve(entry.target);\n }\n });\n }, { threshold: 0.08, rootMargin: '0px 0px -60px 0px' });\n revealEls.forEach((el) => obs.observe(el));\n\n const progressBar = document.getElementById('scrollBar');\n window.addEventListener('scroll', () => {\n const totalHeight = document.documentElement.scrollHeight - window.innerHeight;\n const progress = (window.scrollY / totalHeight) * 100;\n progressBar.style.width = progress + '%';\n }, { passive: true });\n\n\n\n\n", "creation_timestamp": "2026-05-07T21:58:21.000000Z"}, {"uuid": "1723f099-badb-40bc-ad49-e101d8a7617b", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2024-37791", "type": "published-proof-of-concept", "source": "https://t.me/GithubRedTeam/7708", "content": "GitHub\u76d1\u63a7\u6d88\u606f\u63d0\u9192\uff01\uff01\uff01 \n\n\u66f4\u65b0\u4e86\uff1aCVE-2024\n\u63cf\u8ff0\uff1a\u6211\u7684CVE-2024-37791\nURL\uff1ahttps://github.com/czheisenberg/CVE-2024-37791\n\n\u6807\u7b7e\uff1a#CVE-2024", "creation_timestamp": "2024-06-19T09:20:22.000000Z"}, {"uuid": "013b6b95-6c99-4c22-a1c5-8b94b86abbb8", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2024-3779", "type": "seen", "source": "https://t.me/cvedetector/923", "content": "{\n \"Source\": \"CVE FEED\",\n \"Title\": \"CVE-2024-3779 - ESET Denial of Service Vulnerability\", \n \"Content\": \"CVE ID : CVE-2024-3779 \nPublished : July 16, 2024, 9:15 a.m. | 41\u00a0minutes ago \nDescription : Denial of service vulnerability present shortly after product installation or upgrade, potentially allowed an attacker to render ESET\u2019s security product inoperable, provided non-default preconditions were met. \nSeverity: 6.1 | MEDIUM \nVisit the link for more details, such as CVSS details, affected products, timeline, and more...\",\n \"Detection Date\": \"16 Jul 2024\",\n \"Type\": \"Vulnerability\"\n}\n\ud83d\udd39 t.me/cvedetector \ud83d\udd39", "creation_timestamp": "2024-07-16T12:05:27.000000Z"}]}