Sekurak Cyberstarter 2025 już 15 maja! 6 ścieżek, 40+ prelekcji

Wprowadzenie do bezpieczeństwa IT od sekuraka!

Wprowadzenie do bezpieczeństwa IT

Banalna podatność, która mogła być wykorzystania w Internetowym Koncie Pacjenta (IKP). Można było pozyskiwać dane innych osób (również o zdrowiu).

09 maja 2025, 08:46 | W biegu | 0 komentarzy
Tagi: , ,

Jak czytamy w oświadczeniu:

„(…) w przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników.”

Czyli pisząc po ludzku wyglądało to np. tak:

/pokaz_dane_uzytkownika?id=11111

teraz ktoś wpisuje

/pokaz_dane_uzytkownika?id=11112

i uzyskuje dostęp do danych osobowych (oraz medycznych) innego użytkownika (!!!).

Jak czytamy dalej:

„W związku ze zdarzeniem doszło do pozyskania przez zgłaszającego problem użytkownika IKP dokumentacji medycznej czterech innych osób fizycznych, wobec czego doszło do naruszenia poufności ich danych osobowych, przy czym zgłaszający nie przekazał tożsamości osób, których dokumentację pozyskał.”

„W wyniku zdarzenia doszło do nieuprawnionego ujawnienia danych osobowych tych osób obejmujących: imiona i nazwiska, datę urodzenia, adresów zamieszkania lub pobytu, numeru PESEL, serii i numeru dowodu osobistego oraz danych dotyczących zdrowia.”

„podatność była ograniczona do konkretnego repozytorium danych, w konkretnym podmiocie leczniczym.”

Ostatnia informacja jest dość istotna (ograniczony incydent), jednak kto wie, kiedy ewentualnie jakiś inny „podmiot leczniczy” nagle będzie mieć (lub ma) podobny problem?

Warto też spojrzeć tutaj (informacja od CSIRT CeZ):

„Wstępne ustalenia wskazują, że problem nie leżał po stronie aplikacji IKP ani systemu e-zdrowie (P1), lecz w sposobie implementacji i konfiguracji zewnętrznego systemu repozytorium danych po stronie podmiotu.

Zewnętrzne systemy przechowujące dane medyczne muszą dodatkowo weryfikować uprawnienia użytkownika w centralnym systemie P1 przed udostępnieniem dokumentu. Analiza wykazała, że wspomniany podmiot leczniczy nie wdrożył wymaganego zgodnie z instrukcją mechanizmu tej weryfikacji w systemie P1.”

Od strony technicznej wygląda to więc na podatność w konfiguracji innego systemu, z którym integruje się IKP. Od strony użytkownika wygląda to jednak jak podatność w IKP.

Na koniec:

  • Realizujcie regularne testy bezpieczeństwa aplikacji (testy penetracyjne) – nie tylko w trakcie pierwszego wdrożenia
  • Programistom może przydać się dokument OWASP Authorization Cheat Sheet (błąd występował w systemie sprawdzającym uprawnienia)

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz