Mogło dojść do gigantycznego wycieku! Problem dotyczy 10 mln pacjentów

Poważne luki w zabezpieczeniach aplikacji używanych przez lekarzy i apteki naraziły na kradzież wrażliwe dane około 10 milionów pacjentów. Jak informuje informuje „Dziennik Gazeta Prawna”, problem istniał przez lata, ale dopiero niedawno udało się go rozwiązać dzięki zgłoszeniu anonimowego sygnalisty.

Według ustaleń gazety, błędy w oprogramowaniu umożliwiały nieupoważniony dostęp do dokumentacji medycznej pacjentów, ich danych osobowych, adresowych i kontaktowych. Skala potencjalnego wycieku może dotyczyć nawet 10 mln osób. Nie wiadomo jednak czy dane rzeczywiście wyciekły, bo na razie udało się ustalić, że dane rzeczywiście można było zdobyć, a problem istniał przez lata. Co więcej, hakerzy potencjalnie mogli też uzyskać dostęp do systemu e-WUŚ Narodowego Funduszu Zdrowia. Stwarzało to ryzyko wystawiania przez przestępców refundowanych recept, skierowań czy nawet zwolnień lekarskich.

Skala problemu była ogromna, dotykając kilkunastu tysięcy placówek medycznych w całej Polsce, w tym wielu przychodni, gabinetów lekarskich i stomatologicznych oraz aptek. Głównym źródłem zagrożenia mogły być błędy popełnione przez producentów oprogramowania gabinetowego. Jak wyjaśnia „DGP”, dostęp do bazy danych pacjentów odbywał się przy użyciu zakodowanego na stałe hasła, wbudowanego w kod aplikacji.

Na trop nieprawidłowości wpadł Jakub Staśkiewicz, etyczny haker prowadzący blog OpenSecurity.pl, po otrzymaniu anonimowego zgłoszenia opisującego luki. Choć początkowo trudno było uwierzyć w skalę problemu, ekspert potwierdził prawdziwość doniesień. Jego działania przyczyniły się do załatania błędów i uchronienia systemu ochrony zdrowia przed masowym wyciekiem danych. Specjalista szeroko opisuje, jak doszło do wykrycia luki i jakie dane zostały narażone.

„Każdy z pacjentów w tabeli opisany mógł być za pomocą ok. 100 pól. Znajdują się wśród nich takie dane jak imię, nazwisko, dane adresowe i kontaktowe (e-mail, telefon), data urodzenia” – pisze ekspert. Zamieścił też zdjęcie pełnej listy pól, ale dodaje, że nie dla wszystkich pacjentów wszystkie pola były wypełnione. PESEL, NIP i numer dowodu występowały szczątkowo. Co innego jeżeli chodzi o dane personelu medycznego. tutaj PESEL występuje w 100 proc. przypadków. „Poza nim pojawia się login i hasło do zarządzanego przez NFZ systemu e-WUŚ (Elektroniczne Weryfikacja Uprawnień Świadczeniobiorców). System ten pozwala po numerze PESEL zidentyfikować dowolną osobę w kraju i sprawdzić czy przysługują jej aktualnie świadczenia NFZ” – podaje ekspert.

Mimo rozwiązania problemu, nie ma stuprocentowej pewności, czy wrażliwe informacje nie zostały wcześniej wykradzione i wykorzystane przez cyberprzestępców. Polacy powinni zachować czujność i monitorować ewentualne niepokojące sygnały mogące wskazywać na wyciek ich danych medycznych.