Reklama

Wyciek danych pacjentów przez błąd w oprogramowaniu w krakowskiej pracowni rentgenowskiej

Portal Zaufanatrzeciastrona.pl wykazał trzy "trywialne uchybienia" w systemie do obsługi pacjentów, który był wykorzystywany m.in. przez krakowską pracownię rentgenowską. Osoba nieuprawniona - pacjent przeglądając swoje wyniki badań, w wyniku błędu programistycznego, miał możliwość zobaczyć dane innych pacjentów.

Portal Zaufanatrzeciastrona.pl otrzymał informacje od swojego czytelnika dotyczące błędu programistycznego w jednej z krakowskich pracowni rentgenowskich:

Błędy umożliwiające przeglądanie danych innych pacjentów zostały odkryte i naprawione tylko dlatego, że nasz Czytelnik, pragnący zachować anonimowość, musiał zrobić badanie RTG.

 Wyciek danych przez błąd w oprogramowaniu?

Warto nadmienić, że czytelnik, który zgłosił wyciek jest programistą, a więc ma wiedzę dot. bezpieczeństwa. Na portal Zaufanatrzeciastrona.pl ukazała się analiza zdarzenia, która krok po kroku wykazuje trzy "trywialne uchybienia". 

Reklama

Jak doszło do odkrycia błędu, w wyniku którego pacjent mógł zobaczyć dane, takie jak imię, nazwisko, PESEL, czy wyniki badań w popularnym medycznym formacie DICOM? 

Pacjent krakowskiej pracowni rentgenowskiej zalogował się do systemu, aby zobaczyć swoje wyniki badań. Klikając w wynik badania dostrzegł w adresie obrazka coś, co postanowił sprawdzić. Jak czytamy na portalu:

po zmianie ID na końcu linka zobaczył wyniki innego pacjenta. Nie jest dobrze, prawda? Ale w sumie to tylko jakiś obrazek jakiegoś RTG, nie ma żadnej tragedii. Mamy do czynienia z incydentem, oczywiście, ale jego skutki nie będą katastrofalne, nie wiemy nawet, czyje zdjęcia przeglądamy. Co także istotne, dostęp do adresu mają tylko zalogowani użytkownicy – trzeba więc być pacjentem z dostępem do własnych wyników, by na ten błąd natrafić.

Reklama

Co dalej? Pacjent chciał sprawdzić, w jaki sposób są dane osobowe. I tu okazało się, że mógł odczytać inne dane, jak imię, nazwisko, PESEL czy dane lekarza, który skierował na badanie. To jednak nie koniec. Co okazało się w wyniku trzeciego wykrytego błędu?

Jak informuje portal Zaufanatrzeciastrona.pl:

Analizując zgłoszenie Czytelnika, zauważyliśmy, że na stronie wyników badania znajduje się także link do innej usługi, czyli przeglądarki wyników badań w popularnym medycznym formacie DICOM.

Reklama

Podczas analizy portal Zaufanatrzeciastrona.pl zauważył jednak coś bardzo niepokojącego. Pod jednym z linków:

czekał bez żadnego uwierzytelnienia panel całego systemu podglądu wyników badań tej placówki.

Do jakich wniosków doszedł portal Zaufanatrzeciastrona.pl?

Wyszukiwarka za jednym zapytaniem zwracała 1000 wyników. Szybka analiza pokazała, że dziennie w systemie rejestrowanych jest między 100 a 200 badań. Bez żadnego problemu można było sięgnąć do danych archiwalnych (...). Można więc śmiało oszacować, że każdy, kto odkrył ten adres strony, mógł poznać dane osobowe i wyniki badań tysięcy osób. Dlaczego system był skonfigurowany bez uwierzytelnienia? Według podręcznika użytkownika, który znaleźliśmy w sieci, domyślna konfiguracja obejmuje uwierzytelnienie, więc ktoś musiał celowo je wyłączyć. Nie był to najlepszy pomysł, ujmując rzecz delikatnie.

Reklama

Zaufantrzeciastrona.pl poinformowała o swojej analizie i odkryciu firmy odpowiedzialne za system oraz prowadzącą badania. Jak była reakcja?Portal podaje, że:

Reakcja była szybka – następnego dnia systemy zniknęły z sieci, a my dostaliśmy potwierdzenie przyjęcia zgłoszenia i podjęcia działań, w tym zawiadomienia UODO. Incydent zgłosiliśmy także do zespołu CSIRT Centrum e-Zdrowia – najmłodszego polskiego sektorowego zespołu bezpieczeństwa zajmującego się obszarem ochrony zdrowia.

 Całą analizę wykrytych błędów można znaleźć na portalu Zaufanatrzeciastrona.pl.

Obserwuj nas na Obserwuje nas na Google NewsGoogle News

Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!

Źródło: https://zaufanatrzeciastrona.pl/post/trywialne-bledy-umozliwialy-pobieranie-danych-medycznych-i-osobowych-pacjentow/
Reklama

Komentarze opinie

Podziel się swoją opinią

Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.


Reklama
Reklama
Najnowsze wiadomości