Dane medyczne pacjentów pozbawione ochrony. Groźny incydent w polskim mieście
Kradzież danych nawet 200 tys. pacjentów z serwerów ALAB laboratoria zwróciła naszą uwagę na bezpieczeństwo danych medycznych. Właśnie otrzymaliśmy kolejny przykład implementacji systemu zarządzania dokumentacją pacjentów, która dowodzi, że w tej kwestii jest jeszcze sporo do zrobienia.
Dane medyczne pacjentów bez ochrony
Jeden z czytelników bloga firmy Zaufana Trzecia Strona zasygnalizował poważną lukę bezpieczeństwa w systemach jednej z firm oferujących badania medyczne oraz dostęp do nich online. Po przejściu badań RTG otrzymał on dostęp do wyników za pośrednictwem internetu – logowanie do systemu odbywało się z użyciem numeru PESEL i PIN-u.
System działał bezproblemowo, jednak uwagę badanego, który sam jest programistą orientującym się w kwestiach bezpieczeństwa, zwrócił uwagę link do swoich wyników.
Miał on format: https://multidiagnostica.lab-online.pl/Result/GetIcon?id=XXX, gdzie zamiast XXX widniał jego PESEL. Wystarczyło zmodyfikować identyfikator, by uzyskać dostęp do danych innego pacjenta.
Dane medyczne pacjentów pozostawione bez ochrony
O ile było to naruszenie ochrony danych, to jednak nie sposób było na podstawie samego RTG osobie postronnej zidentyfikować konkretnego pacjenta. Przynajmniej na tym etapie.
Problem w tym, że wystarczyło zmodyfikować adres poprzedniej strony, która była wyświetlana zaraz po zalogowaniu, by otrzymać już zestaw danych składających się z imienia i nazwiska, numeru PESEL, daty urodzenia, telefonu, maila, jednostki, w której dokonano badań, ich daty i lekarza.
Po zgłoszeniu sprawy do Z3S analitycy zaczęli kopać głębiej i szybko zauważyli w źródle strony link do innej usługi utrzymywanej przez firmę – https://multidiagnostica.lab-online.pl:4546/viewer.
Niestety, za jego pośrednictwem udało się bez konieczności uwierzytelniania się w jakiejkolwiek postaci uzyskać dostęp do panelu pozwalającego wyszukiwać dowolnego pacjenta, zupełnie jakby było się pracownikiem firmy.
Systemy zniknęły już z Sieci
Zupełnie niezabezpieczony panel administracyjny pozwalał oglądać zarówno dane bieżące, jak i archiwalne, a o skali incydentu niech mówi fakt, że w tej konkretnej firmie dodawanych do bazy jest od 100 do 200 nowych wyników badań dziennie. Najpewniej przez lata dostęp do nich i danych o pacjentach mógł uzyskać każdy.
Jedyną pozytywną stroną tej historii jest sprawna reakcja na zgłoszenie – firma kolejnego dnia po nim wyłączyła cały system. Do Zaufanej Trzeciej Strony posłano natomiast maila zawiadamiającego, że incydent został zgłoszony, został o nim powiadomiony Urząd Ochrony Danych Osobowych. Danych osobowych i wyników badań pozyskanych wcześniej nikt już jednak pacjentom nie zwróci.
Źródło: Zaufana Trzecia Strona
