Portal Zaufanatrzeciastrona.pl wykazał trzy "trywialne uchybienia" w systemie do obsługi pacjentów, który był wykorzystywany m.in. przez krakowską pracownię rentgenowską. Osoba nieuprawniona - pacjent przeglądając swoje wyniki badań, w wyniku błędu programistycznego, miał możliwość zobaczyć dane innych pacjentów.
Portal Zaufanatrzeciastrona.pl otrzymał informacje od swojego czytelnika dotyczące błędu programistycznego w jednej z krakowskich pracowni rentgenowskich:
Błędy umożliwiające przeglądanie danych innych pacjentów zostały odkryte i naprawione tylko dlatego, że nasz Czytelnik, pragnący zachować anonimowość, musiał zrobić badanie RTG.
Warto nadmienić, że czytelnik, który zgłosił wyciek jest programistą, a więc ma wiedzę dot. bezpieczeństwa. Na portal Zaufanatrzeciastrona.pl ukazała się analiza zdarzenia, która krok po kroku wykazuje trzy "trywialne uchybienia".
Jak doszło do odkrycia błędu, w wyniku którego pacjent mógł zobaczyć dane, takie jak imię, nazwisko, PESEL, czy wyniki badań w popularnym medycznym formacie DICOM?
Pacjent krakowskiej pracowni rentgenowskiej zalogował się do systemu, aby zobaczyć swoje wyniki badań. Klikając w wynik badania dostrzegł w adresie obrazka coś, co postanowił sprawdzić. Jak czytamy na portalu:
po zmianie ID na końcu linka zobaczył wyniki innego pacjenta. Nie jest dobrze, prawda? Ale w sumie to tylko jakiś obrazek jakiegoś RTG, nie ma żadnej tragedii. Mamy do czynienia z incydentem, oczywiście, ale jego skutki nie będą katastrofalne, nie wiemy nawet, czyje zdjęcia przeglądamy. Co także istotne, dostęp do adresu mają tylko zalogowani użytkownicy – trzeba więc być pacjentem z dostępem do własnych wyników, by na ten błąd natrafić.
Reklama
Co dalej? Pacjent chciał sprawdzić, w jaki sposób są dane osobowe. I tu okazało się, że mógł odczytać inne dane, jak imię, nazwisko, PESEL czy dane lekarza, który skierował na badanie. To jednak nie koniec. Co okazało się w wyniku trzeciego wykrytego błędu?
Jak informuje portal Zaufanatrzeciastrona.pl:
Analizując zgłoszenie Czytelnika, zauważyliśmy, że na stronie wyników badania znajduje się także link do innej usługi, czyli przeglądarki wyników badań w popularnym medycznym formacie DICOM.
Reklama
Podczas analizy portal Zaufanatrzeciastrona.pl zauważył jednak coś bardzo niepokojącego. Pod jednym z linków:
czekał bez żadnego uwierzytelnienia panel całego systemu podglądu wyników badań tej placówki.
Do jakich wniosków doszedł portal Zaufanatrzeciastrona.pl?
Wyszukiwarka za jednym zapytaniem zwracała 1000 wyników. Szybka analiza pokazała, że dziennie w systemie rejestrowanych jest między 100 a 200 badań. Bez żadnego problemu można było sięgnąć do danych archiwalnych (...). Można więc śmiało oszacować, że każdy, kto odkrył ten adres strony, mógł poznać dane osobowe i wyniki badań tysięcy osób. Dlaczego system był skonfigurowany bez uwierzytelnienia? Według podręcznika użytkownika, który znaleźliśmy w sieci, domyślna konfiguracja obejmuje uwierzytelnienie, więc ktoś musiał celowo je wyłączyć. Nie był to najlepszy pomysł, ujmując rzecz delikatnie.
Reklama
Zaufantrzeciastrona.pl poinformowała o swojej analizie i odkryciu firmy odpowiedzialne za system oraz prowadzącą badania. Jak była reakcja?Portal podaje, że:
Reakcja była szybka – następnego dnia systemy zniknęły z sieci, a my dostaliśmy potwierdzenie przyjęcia zgłoszenia i podjęcia działań, w tym zawiadomienia UODO. Incydent zgłosiliśmy także do zespołu CSIRT Centrum e-Zdrowia – najmłodszego polskiego sektorowego zespołu bezpieczeństwa zajmującego się obszarem ochrony zdrowia.
Całą analizę wykrytych błędów można znaleźć na portalu Zaufanatrzeciastrona.pl.
Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!
Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.
Komentarze