Luka w systemie danych o szczepieniu p/COVID

Za pośrednicteem formularza do szybkiej ścieżki rejestracji na szczepienie przeciwko COVId-19 doszło do naruszenia ochrony danych osobowych przetwarzanych w systemie e-rejestracji - poinformowało ministerstwo zdrowia. Sprawa jest analizowana, a resort zdecydował o wyłączeniu formularza. 

Formularz szybkiej ścieżki logowania pozwalał na umówienie wizyty na szczepienia w cyklu podstawowym (jeżeli wcześniej było ono nieumówione). Nie dawał natomiast możliwości umówienia się na szczepienie dawką uzupełniającą lub przypominającą.

Liczba logowań była ograniczona, tj. na jeden numer telefonu można było umówić trzy osoby (trzy różne PESELE). Dodatkowo potencjalne ryzyko enumerowania numerów PESEL zostało ograniczone przez zastosowanie reCAPTCHA.

Jak informuje ministerstwo zdrowia w komunikacie, 25 stycznia 2022 r., biorąc pod uwagę spadającą liczbę uproszczonych rejestracji, Ministerstwo Zdrowia zdecydowało o wyłączeniu tego sposobu zapisywania na szczepienia.

Czy ktoś już się zaszczepił?

Z informacji przekazanych z CeZ wynikało, że istnieje zagrożenie, iż każda osoba uzupełniająca pola w formularzu mogła podać swój numer telefonu w celu potwierdzenia tożsamości i po wprowadzaniu danych osobowych innych osób (jeżeli takie posiadała) obejmujących ich imię, nazwisko oraz numer PESEL, wygenerować dodatkową informację dotyczącą tej osoby w zakresie jej rejestracji na szczepienie przeciwko COVID-19, a więc informacji o przyjęciu szczepionki. Na podany numer telefonu był bowiem wysyłany sms z kodem jednorazowym i po jego wprowadzeniu posiadacz tego numeru otrzymywał informację o możliwości zaszczepienia. W efekcie można było wywnioskować, czy osoba, której dane wprowadzono poddała się już szczepieniu. Po ewentualnym umówieniu trzech szczepień na jeden numer telefonu możliwość umawiania kolejnych wizyt była blokowana na 15 sekund. Z kolei sprawdzenie opcji rejestracji, czyli logowanie bez umówienia było możliwe bez ograniczeń.

Dane o miejscu zamieszkania

Dodatkowo - jak wyjaśnia MZ - w niektórych przypadkach formularz pozwalał osobie podszywającej się pod użytkownika na uzyskanie informacji o miejscowości zamieszkania osoby, której dane zostały wykorzystane do nieuprawnionego logowania.

Osoba, która logowała się poprzez formularz używała danych (obejmujących imię, nazwisko oraz numer PESEL) pozyskanych we własnym zakresie.

192 osoby poszkodowane?

Jak informuje MZ, ustalono, że przedmiotem naruszenia były dane osobowe 192 osób. Naruszenie polegało na nieuprawnionym uzyskaniu dostępu do informacji. Z kolei konsekwencją incydentu była utrata poufności danych i możliwość naruszenia dobrego imienia osób. Istotne jest bowiem to, że przedmiotem zainteresowania były osoby, które są osobami publicznymi.

W związku z naruszeniem i potencjalnym ryzkiem dalszego naruszania ochrony danych osobowych za pośrednictwem formularza podjęto decyzję o jego wyłączeniu.

"Sprawa jest analizowana pod kątem możliwości popełnienia przestępstwa i zostanie złożone zawiadomienie do organów ścigania" - zapowiada resort zdrowia.

Źródło: MZ