Dane medyczne pacjentów pozbawione ochrony. Groźny incydent w polskim mieście
Kradzież danych nawet 200 tys. pacjentów z serwerów ALAB laboratoria zwróciła naszą uwagę na bezpieczeństwo danych medycznych. Właśnie otrzymaliśmy kolejny przykład implementacji systemu zarządzania dokumentacją pacjentów, która dowodzi, że w tej kwestii jest jeszcze sporo do zrobienia.
Dane medyczne pacjentów bez ochrony
Jeden z czytelników bloga firmy Zaufana Trzecia Strona zasygnalizował poważną lukę bezpieczeństwa w systemach jednej z firm oferujących badania medyczne oraz dostęp do nich online. Po przejściu badań RTG otrzymał on dostęp do wyników za pośrednictwem internetu – logowanie do systemu odbywało się z użyciem numeru PESEL i PIN-u.
System działał bezproblemowo, jednak uwagę badanego, który sam jest programistą orientującym się w kwestiach bezpieczeństwa, zwrócił uwagę link do swoich wyników.
Miał on format: https://multidiagnostica.lab-online.pl/Result/GetIcon?id=XXX, gdzie zamiast XXX widniał jego PESEL. Wystarczyło zmodyfikować identyfikator, by uzyskać dostęp do danych innego pacjenta.
Poufna rozmowa to przy tym pestka. Skrzynki pocztowe szefów Microsoftu zhakowaneDane medyczne pacjentów pozostawione bez ochrony
O ile było to naruszenie ochrony danych, to jednak nie sposób było na podstawie samego RTG osobie postronnej zidentyfikować konkretnego pacjenta. Przynajmniej na tym etapie.
Problem w tym, że wystarczyło zmodyfikować adres poprzedniej strony, która była wyświetlana zaraz po zalogowaniu, by otrzymać już zestaw danych składających się z imienia i nazwiska, numeru PESEL, daty urodzenia, telefonu, maila, jednostki, w której dokonano badań, ich daty i lekarza.
Po zgłoszeniu sprawy do Z3S analitycy zaczęli kopać głębiej i szybko zauważyli w źródle strony link do innej usługi utrzymywanej przez firmę – https://multidiagnostica.lab-online.pl:4546/viewer.
Niestety, za jego pośrednictwem udało się bez konieczności uwierzytelniania się w jakiejkolwiek postaci uzyskać dostęp do panelu pozwalającego wyszukiwać dowolnego pacjenta, zupełnie jakby było się pracownikiem firmy.
Systemy zniknęły już z Sieci
Zupełnie niezabezpieczony panel administracyjny pozwalał oglądać zarówno dane bieżące, jak i archiwalne, a o skali incydentu niech mówi fakt, że w tej konkretnej firmie dodawanych do bazy jest od 100 do 200 nowych wyników badań dziennie. Najpewniej przez lata dostęp do nich i danych o pacjentach mógł uzyskać każdy.
Jedyną pozytywną stroną tej historii jest sprawna reakcja na zgłoszenie – firma kolejnego dnia po nim wyłączyła cały system. Do Zaufanej Trzeciej Strony posłano natomiast maila zawiadamiającego, że incydent został zgłoszony, został o nim powiadomiony Urząd Ochrony Danych Osobowych. Danych osobowych i wyników badań pozyskanych wcześniej nikt już jednak pacjentom nie zwróci.
Źródło: Zaufana Trzecia Strona
