Kolejny wyciek danych Polaków. Można było uzyskać numery PESEL i więcej

Dawid Długosz

Dawid Długosz

Do sieci ponownie przedostały się dane polskich pacjentów. Tym razem za wyciek odpowiada nieodpowiednio zabezpieczony system obsługi wykorzystywany m.in. przez firmę Multidiagnostica. W ten sposób można było pozyskać dane obejmujące m.in. imiona i nazwiska, numery PESEL oraz informacje o wykonanych badaniach.

Wycieki danych to coraz częstszy problem.
Wycieki danych to coraz częstszy problem.123RF/PICSEL

W zeszłym roku doszło do ogromnego wycieku danych polskich pacjentów oraz pracowników i współpracowników firmy ALAB. Teraz odkryto kolejne uchybienia w systemie do obsługi pacjentów, który był wykorzystywany m.in. przez krakowską pracownię rentgenowską Multidiagnostica.

Dane pacjentów firmy Multidiagnostica dostępne przez luki w systemie

Sprawa została zbadana przez Zaufaną Trzecią Stronę i z ustaleń serwisu wynika, że winowajcą sytuacji był wykorzystywany przez firmę Multidiagnostica system elektroniczny do obsługi wyników badań pacjentów. Logowanie do niego odbywa się na podstawie numeru PESEL lub nazwy użytkownika. Natomiast autoryzacja jest dokonywana poprzez PIN lub hasło.

Wyniki badań mają specjalny link z unikalnym ID. I tutaj pojawia się problem, ponieważ podmiana identyfikatora na inny umożliwiała podejrzenie informacji o badaniach należących do innych pacjentów. Na tym jednak nie koniec, bo okazało, że system ma więcej uchybień i te pozwalały na pozyskanie większej liczby danych.

Luki w systemie stosowanym przez Multidiagnostica pozwalały podejrzeć dane pacjentów, w tym numery PESEL.
Luki w systemie stosowanym przez Multidiagnostica pozwalały podejrzeć dane pacjentów, w tym numery PESEL.Zaufana Trzecia Stronamateriał zewnętrzny

Nieodpowiednie zabezpieczenia skutkowały tym, że każdy mógł podejrzeć dane pacjentów, w tym imię, nazwisko, numer PESEL oraz lekarza wystawiającego skierowanie. Dziurawa była również wyszukiwarka, która za jednym zamachem pozwalała na pozyskanie licznych danych archiwalnych.

Na problem szybko zareagowano

Na szczęście na zgłoszenia wysłane przez serwis źródłowy szybko zareagowano i podjęto działania, które miały na celu ochronę danych osobowych zgromadzonych pacjentów. Wadliwe systemy wyłączono i wiadomo, że problem dotyczył na pewno klientów firmy Multidiagnostica. Nie można jednak wykluczyć, że także innych placówek medycznych, które bazowały na tej samej platformie.

Cyberprzestępcy mogą z pozyskanymi danymi zrobić naprawdę dużo. Na szczęście od niedawna istnieje m.in. możliwość zastrzegania numeru PESEL poprzez mObywatela, co warto zrobić w momencie, gdy stał się on częścią wycieku danych. Po sytuacji związanej z ALAB-em uruchomiono nawet specjalne narzędzie, które umożliwia rodakom sprawdzenie własnych informacji pod kątem ewentualnego przejęcia przez osoby nieuprawnione.

SPROSTOWANIE

"W artykule "Kolejny wyciek danych Polaków. Można było uzyskać numery PESEL i więcej" który ukazał się w dniu 24.01.2024 r. o godz. 9:54 na należących do Interia.pl sp. z o.o. stronie internetwoej, https://geekweek.interia.pl/ i na stronie głównej Interia.pl, "podano nieprawdziwą informacje, iż do sieci przedostały się dane polskich pacjentów podmiotu MD Multidiagnostica. W rzeczywistości nie przedostały się do sieci Internet żadne dane a miało miejsce ujawnienie przez pacjenta wad w oprogramowaniu, które mogły umożliwić zalogowanemu użytkownikowi dostęp do danych osobowych innego pacjenta. Możliwość ta została niezwłocznie ujawniona firmie MD Multidiagnostica, która natychmiast wyłączyła możliwość korzystania z serwisu."

Czy na świecie może zabraknąć prądu?INTERIA.PL
INTERIA.PL
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas

Najnowsze