Atak na polską lekarkę. Pozwolił na wystawianie fałszywych recept

22 września br. jedna z wrocławskich lekarek, prowadząca praktykę lekarską, poinformowała o naruszeniu ochrony danych osobowych.

„Dane Państwa - imię, nazwisko, płeć, adres, PESEL, w niektórych przypadkach numer telefonu, a także dane medyczne z wizyt dermatologicznych, były gromadzone w zewnętrznym lekarskim programie gabinetowym Medfile, do którego w wyniku cyberataku nastąpił nieuprawniony dostęp” – stwierdzono w komunikacie.

Incydent nie skutkował jedynie naruszeniem poufności danych pacjentów. Cyberprzestępcy wykorzystali przejęte konto do wypisania recept na „narkotyczne leki przeciwbólowe”.

W wyniku ataku na dane niektórych (ok. 30) pacjentów wygenerowano w programie po 1-2 recepty na narkotyczne środki przeciwbólowe. Niezwłocznie po odkryciu nieuprawnionego dostępu do danych w dniu 11.09.2025 roku przerwano proceder przez zmianę sposobu logowania, zawiadomiono prokuraturę, Inspektorat Farmaceutyczny oraz Urząd Ochrony Danych Osobowych. Obecnie brak nieuprawnionego dostępu do danych
Praktyka Lekarska Katarzyna Kapelko-Trojanowska

Warto przy tym podkreślić, że w zawiadomieniu podkreślono podjęcie natychmiastowych kroków, w tym zgłoszenia do odpowiednich organów.

Jak do tego doszło?

W zawiadomieniu wskazano wystąpienie cyberataku, który skutkował nieuprawnionym dostępem. Obecnie nie wiadomo, jaki był jego rodzaj, lecz wiele wskazuje na to, że powodem incydentu mogło być wyłudzenie danych logowania poprzez phishing.

22 lipca CSIRT CeZ poinformował o SMS-owej kampanii phishingowej, gdzie podszywano się pod MedFile – oprogramowanie do obsługi gabinetów lekarskich, z którego korzystała ww. praktyka. „Nadawca wiadomości został sfałszowany - SMS-y łudząco przypominające, pochodzące z prawdziwego źródła (np. „MedFile”)” – stwierdzono w artykule CeZ-u, podkreślając, że niektóre fałszywe wiadomości dotyczyły rzekomej migracji danych lub zmianie strony logowania.

12 listopada Niebezpiecznik alarmował o kolejnej kampanii SMS-owej, gdzie próbowano podszywać się pod MedFile. Wiadomość była bardzo „sprytnie” skonstruowana – adres URL zapisano wielkimi i małymi literami, przez co domena „medflle[.]pl” wyglądała łudząco podobnie do „medfile[.]pl”, mianowicie: „MEDFlLE[.]PL”. Portal przekazał również, że otworzenie witryny na telefonie otwierało podstawioną stronę zamiast prawdziwej, zaś na komputerze zwracało błąd 403 (Forbidden).

„Łatwo sobie wyobrazić jak niebezpieczna będzie sytuacja, w której choć jeden lekarz dałby się nabrać na fałszywą wiadomość wyłudzającą hasła do tej platformy” – stwierdzono wówczas w artykule Niebezpiecznika.

Logowanie dwuetapowe królem!

Warto podkreślić, że dwuetapowe uwierzytelnianie znacząco zwiększa poziom bezpieczeństwa naszego konta. Wówczas wyłudzenie samego adresu e-mail i hasła nie pozwala na przejęcie dostępu do konta, ponieważ konieczne jest wykorzystanie dodatkowego składnika, takiego jak wpisanie jednorazowego kodu z SMS lub aplikacji oraz użycie klucza fizycznego (U2F). Więcej o tej metodzie można przeczytać w artykule na naszym portalu.

MedFile pozwala na włączenie 2FA – zachęcamy użytkowników tej platformy do zapoznania się z poradnikiem.

Podsumowanie

Incydent doskonale pokazuje, że dwuetapowe uwierzytelnianie pozostaje kluczowym elementem zabezpieczenia naszych kont. Dodatkowo widzimy, że zdarzenie miało realne skutki dla kilkudziesięciu osób w postaci wystawienia na ich dane recept na „narkotyczne środki przeciwbólowe”.

Obecnie nie wiemy, czy to wspomniana kampania phishingowa doprowadziła do omawianych wydarzeń. Widzimy jednak konieczność wdrażania 2FA (dwuetapowego uwierzytelniania) wszędzie tam, gdzie to możliwe.

Omawiany incydent to również przykład tego, że małe organizacje również mogą być na celowniku cyberprzestępców, zaś skutki ich działań pozostają dość poważne – choć oczywiście nie wiemy, czy doszło do zrealizowania wspomnianych wcześniej recept.