Błąd w IKP. Można było uzyskać dokumentację pacjentów

Wycieki danych osobowych z podmiotów publicznych pojawiają się w sieci co jakiś czas. Chociaż najczęściej informacje o takich zdarzeniach dotyczą cyberataków, jak w opisywanym przez nas incydencie ze sklepem internetowym sklepbaterie.pl, tak informacje mogą zostać opublikowane „przypadkowo”, jak w historii z portalem docer.pl.

Jak uzyskać dokumentację pacjentów? Zmieniając fragment adresu

Tym razem sprawa dotyczy kwestii zdrowotnych. Na stronie Ministerstwa Zdrowia pojawił się komunikat o naruszeniu danych osobowych, które są gromadzone w systemie P1. Na szczęście sprawa nie ma związku z oszustami, którzy w połowie kwietnia podszywali się pod Centrum e-Zdrowia (CeZ).

Jak czytamy w informacji opublikowanej przez resort, w Internetowym Koncie Pacjenta jeden z użytkowników odkrył podatność polegającą na odpowiedniej modyfikacji fragmentu adresu URL w pasku przeglądarki. Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w ten sposób możliwe było uzyskanie nieuprawionego dostępu do dokumentacji innych pacjentów.

Należy podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca.
Ministerstwo Zdrowia

Naruszenie poufności danych pacjentów

Osoba zgłaszająca podatność Centrum e-Zdrowia uzyskała dostęp do dokumentacji czterech innych Polaków. Tym samym doszło do naruszenia poufności danych osobowych. Nie wiadomo jednak konkretnie, kto został poszkodowany – CeZ wie jedynie, że oprócz imion i nazwisk ujawnione zostały także numery PESEL, serie i numery dowodów osobistych, a przede wszystkim: dane dotyczące zdrowia pacjentów.

CSIRT CeZ niezwłocznie przeprowadził testy weryfikujące wskazaną podatność w Internetowym Koncie Pacjenta. Okazało się na szczęście, że problem dotyczy tylko jednego szpitala, w którym repozytorium danych nie było odpowiednio zabezpieczone w zakresie wymogu weryfikacji uprawnień użytkownika. Z kolei dostawca repozytorium potwierdził błąd w usłudze, przez co placówka nie mogła zweryfikować użytkownika przed pobraniem danych medycznych.

Zgodnie z dokumentacją użytkownika systemu P1, każde repozytorium po otrzymaniu żądania pobrania dokumentu powinno zweryfikować dostępność dokumentu dla danego użytkownika, opierając się na decyzji autoryzacyjnej P1.
Ministerstwo Zdrowia

Ministerstwo zaleca ostrożność. Nie wskazuje szpitala

Dostawca repozytorium miał naprawić błąd do 25 kwietnia – w dniu upływu terminu poinformował Ministerstwo Zdrowia o przygotowaniu poprawki do systemów. Brak jednak informacji, czy została ona dodana do IKP, a podatność została tym samym wyeliminowana. Cztery dni później resort zgłosił naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.

Ministerstwo ostrzega, że dane osobowe mogą zostać wykorzystane m.in. do uzyskania pożyczek, wyłudzania danych medycznych, ubezpieczeń, uzyskania dostępu do bankowości elektronicznej czy ogólnej kradzieży tożsamości. Zalecane jest m.in. zastrzeżenie numeru PESEL, ignorowanie potencjalnych wiadomości phishingowych czy zachowanie ostrożości przy podawaniu danych innym osobom.

Co ciekawe, resort poleca skontaktować się z placówkami medycznymi „w których znajduje się dokumentacja medyczna osoby, której dotyczy naruszenie”. Problem jest w tym, że… nie podano, którego szpitala dotyczył problem, a co za tym idzie – nie wiadomo, którzy pacjenci oraz ich rodziny muszą podjąć odpowiednie działania.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].