Reklama

Błąd w IKP. Można było uzyskać dokumentację pacjentów

W Internetowym Koncie Pacjenta wykryto podatność, która umożliwiała pobranie dokumentacji innych pacjentów. Resort zdrowia mówi, że dotyczyło to tylko jednej placówki - ale nie mówi, której.
W Internetowym Koncie Pacjenta wykryto podatność, która umożliwiała pobranie dokumentacji innych pacjentów. Resort zdrowia mówi, że dotyczyło to tylko jednej placówki - ale nie mówi, której.
Autor. By Botev - Own work, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=140844718

Ministerstwo Zdrowia poinformowało o naruszeniu danych osobowych gromadzonych w systemie P1. Użytkownicy Internetowego Konta Pacjenta, poprzez zmianę w adresie URL strony, mogli uzyskać dostęp do dokumentacji medycznej innych osób. Zaznaczono, że odkryta podatność dotyczyła tylko jednego szpitala.

Wycieki danych osobowych z podmiotów publicznych pojawiają się w sieci co jakiś czas. Chociaż najczęściej informacje o takich zdarzeniach dotyczą cyberataków, jak w opisywanym przez nas incydencie ze sklepem internetowym sklepbaterie.pl, tak informacje mogą zostać opublikowane „przypadkowo”, jak w historii z portalem docer.pl.

    Reklama

    Jak uzyskać dokumentację pacjentów? Zmieniając fragment adresu

    Tym razem sprawa dotyczy kwestii zdrowotnych. Na stronie Ministerstwa Zdrowia pojawił się komunikatnaruszeniu danych osobowych, które są gromadzone w systemie P1. Na szczęście sprawa nie ma związku z oszustami, którzy w połowie kwietnia podszywali się pod Centrum e-Zdrowia (CeZ).

    Jak czytamy w informacji opublikowanej przez resort, w Internetowym Koncie Pacjenta jeden z użytkowników odkrył podatność polegającą na odpowiedniej modyfikacji fragmentu adresu URL w pasku przeglądarki. Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w ten sposób możliwe było uzyskanie nieuprawionego dostępu do dokumentacji innych pacjentów.

    Należy podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca.
    Ministerstwo Zdrowia
    Reklama

    Naruszenie poufności danych pacjentów

    Osoba zgłaszająca podatność Centrum e-Zdrowia uzyskała dostęp do dokumentacji czterech innych Polaków. Tym samym doszło do naruszenia poufności danych osobowychNie wiadomo jednak konkretnie, kto został poszkodowany – CeZ wie jedynie, że oprócz imion i nazwisk ujawnione zostały także numery PESEL, serie i numery dowodów osobistych, a przede wszystkim: dane dotyczące zdrowia pacjentów.

    CSIRT CeZ niezwłocznie przeprowadził testy weryfikujące wskazaną podatność w Internetowym Koncie Pacjenta. Okazało się na szczęście, że problem dotyczy tylko jednego szpitala, w którym repozytorium danych nie było odpowiednio zabezpieczone w zakresie wymogu weryfikacji uprawnień użytkownika. Z kolei dostawca repozytorium potwierdził błąd w usłudze, przez co placówka nie mogła zweryfikować użytkownika przed pobraniem danych medycznych.

    Zgodnie z dokumentacją użytkownika systemu P1, każde repozytorium po otrzymaniu żądania pobrania dokumentu powinno zweryfikować dostępność dokumentu dla danego użytkownika, opierając się na decyzji autoryzacyjnej P1.
    Ministerstwo Zdrowia
    Reklama

    Ministerstwo zaleca ostrożność. Nie wskazuje szpitala

    Dostawca repozytorium miał naprawić błąd do 25 kwietnia – w dniu upływu terminu poinformował Ministerstwo Zdrowia o przygotowaniu poprawki do systemów. Brak jednak informacji, czy została ona dodana do IKP, a podatność została tym samym wyeliminowana. Cztery dni później resort zgłosił naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.

    Ministerstwo ostrzega, że dane osobowe mogą zostać wykorzystane m.in. do uzyskania pożyczek, wyłudzania danych medycznych, ubezpieczeń, uzyskania dostępu do bankowości elektronicznej czy ogólnej kradzieży tożsamości. Zalecane jest m.in. zastrzeżenie numeru PESEL, ignorowanie potencjalnych wiadomości phishingowych czy zachowanie ostrożości przy podawaniu danych innym osobom.

    Co ciekawe, resort poleca skontaktować się z placówkami medycznymi „w których znajduje się dokumentacja medyczna osoby, której dotyczy naruszenie”. Problem jest w tym, że… nie podano, którego szpitala dotyczył problem, a co za tym idzie – nie wiadomo, którzy pacjenci oraz ich rodziny muszą podjąć odpowiednie działania.

    Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

    Reklama
    Reklama

    Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?

    Materiał sponsorowany

    Komentarze

      Reklama