Hack: publikuje szczegóły wizyt u psychologów/psychiatrów, żądając od pacjentów okupu w BTC. [afera w Finlandii]

26 października 2020, 16:02 | W biegu | komentarzy 17
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Do tej pory zawiadomienie o przestępstwie zgłosiło „tysiące osób”. Chodzi o jedno z centrów psychoterapii w Finlandii. Napastnicy postanowili tym razem obrać inną strategię – tj. również zażądać okupu od samych pacjentów, których poufne dane udało się wykraść. Szczegóły dotyczące sesji u psychologa czy psychiatry – to oczywiście dość wrażliwe i osobiste dane…

Sam okup dla firmy wynosi ~2 000 000 PLN (przeliczone z BTC) oraz ~1000 PLN (dla osoby, której dane wyciekły).

Dość nietypowy jest też fakt, że firmę zhackowano prawdopodobnie dwa razy – listopad 2018r. oraz początek 2019r. Co ciekawe dopiero kilka dni temu firma potwierdziła atak, kwitując całość dość standardową formułą, którą pozostawiamy bez komentarza:

As a company that provides psychotherapy services, the confidentiality of customer information is extremely important (…)

Przestępca obecnie ujawnił szczegóły sesji terapeutycznych około 300 pacjentów, a potencjalnie poszkodowanych są dziesiątki tysięcy osób. Jest to na tyle poważna sprawa, że w temat włączył się również minister spraw wewnętrznych Finlandii.

According to Lardot, while there is no precise information on the quantity of patient data that has been leaked, there could be tens of thousands of victims.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. asdsad

    Bezmózgi debil. Ludzie mają problemy, to jeszcze ich będzie dobijał…

    Odpowiedz
    • wk

      @asdasd

      Zgadzam się, zachowanie poradni wobec swoich pacjentów jest nieprofesjonalne i dobijające.

      Odpowiedz
  2. Bardzo ciekawy (i zarazem przykry) artykuł.

    Naturalnie, tę bazę wmontują do swoich modeli nowoczesne firmy ubezpieczeniowe, pożyczkowe i inne.

    Byłoby fajnie, gdybyście przy takich okazjach publikowali również relewantne zalecenia bezpieczeństwa, bo to nie koniecznie jest oczywiste.

    „Co robić, jak żyć?”

    Idąc prywatnie do fryzjera, lekarza czy wypożyczalni kajaków nie mamy obowiązku obnażać prawdziwej tożsamości. Ogólne trzeba o tym myśleć tak, że tożsamość jest toksyczna – nie zakażajmy tożsamością działań.

    * umawianie wizyt przez VOIP (powinien być ukryty numer)
    * płatność gotówką
    * PESEL do recepty z generatora: https://pesel.cstudios.pl/O-generatorze/Generator-On-Line (przygotować wcześniej)
    * kod do recepty prosimy wydrukować lub zapisać na kartce (jest taka możliwość)
    * telefonu nie podajemy lub jeśli nalegają – podajemy losowy (przygotować wcześniej)

    Dane wyciekną na 1000% – to kwestia czasu – więc po prostu ich nie zostawiamy.

    Odpowiedz
    • Jędrzej

      Jeżeli „dane wyciekną, to kwestia czasu”, to należy znieść numery PESEL, dowody osobiste i inne identyfikujące nas wynalazki. Oraz umożliwić anonimową wizytę u lekarza.

      Ciekawe czy gdyby wyciekły szczegółowe dane medyczne Morawieckiego, Błaszczake, Kaczyńskiego, Ziobry oraz ich rodzin – to czy pozwoliliby Polakom na chociaż trochę prywatności?

      Odpowiedz
    • asdsad

      > umawianie wizyt przez VOIP (powinien być ukryty numer)

      Są tacy, co po prostu nie odbierają ukrytych ze strachu przed: bo_potem_się_płaci / czarna_wołga / UFO. Ja odbieram z przyjemnością.

      > PESEL do recepty z generatora

      Przejdzie to? A w ogóle, to zarejestrujesz się do przychodni z lewym PESEL-em? Może za $ do prywatnego gabinetu się da, ale do przychodni???

      Odpowiedz
      • Tak, dlatego pisałem o prywatnych usługach. Nie wiem czy da się to bezpiecznie zrobić względem refundowanej przychodni. Niestety elementarna prywatność staje się luksusem :(

        Odpowiedz
      • Joanna

        > PESEL do recepty z generatora
        > Przejdzie to?

        Bywa że przejdzie, zależy czy paniom się chce sprawdzać dowód. Czasem sprawdzają, ale nie zawsze.

        Ale rejestrując się na PESEL z generatora można zrobić krzywdę komuś, kto ten PESEL ma. I wstydliwe rzeczy na jego temat znajdą się w państwowej bazie. I te dane już z niej nie znikną.

        >Może za $ do prywatnego gabinetu się da, ale do przychodni???

        W prywatnych gabinetach też potrafią prosić o dokumenty, czasem bez dokumentu nie chcą w ogóle zarejestrować.

        >Dane wyciekną na 1000% – to kwestia czasu – więc po prostu ich nie zostawiamy.

        Powiedz to ludziom z ciężkimi chorobami, którzy muszą korzystać z publicznej służby zdrowia bo inaczej umrą.

        Również uważam, że powinna być możliwość anonimowego leczenia, podobnie jak anonimowo można zrobić test na HIV.

        Odpowiedz
    • Michał

      „Naturalnie, tę bazę wmontują do swoich modeli nowoczesne firmy ubezpieczeniowe, pożyczkowe i inne.”

      Szczerze wątpię. Kolega chyba nie zna specyfiku rynku finansowego i tego jak działa. Wbrew pozorom nie ma również ani takiej potrzeby ani specjalnego zysku, zaś odpowiedzialność z tego tytułu jest pewna. Zapewniam, że żaden podmiot sektora finansowego UE takich danych nie tknie. Oczywiście może gdzies na świecie byłyby podmioty, które mogłyby to zrobić i skutecznie ukryć, ale wbrew pozorom nie ma w tym żadnego celu. Sam koszt operacji byłby większy niż potencjalne zyski.

      Odpowiedz
      • Zupełnie odwrotnie :) To szanowny kolega wykazuje naiwną wiarę w regulacje.

        Niestety, technicznie są sposoby taniego i bezpiecznego wmontowania tych wyciekniętych danych w model predykcyjny i ślad po tym nie zostanie. Po jednokierunkowym przetworzeniu same dane źródłowe również nie są do niczego potrzebne.

        Odpowiedz
    • Krzysztof Kozłowski

      Gdzie się uchowałeś? Rejestrujesz się do lekarza danymi i jesteś w centralnej bazie. Nie ma Cię nie zostajesz przyjęty. Więc zostaje prywatna wizyta. To samo z receptami. Dostajesz je i są trzymane online.
      Musiałbyś stworzyć fałszywą tożsamość, żeby to zadziałało, a to ani proste, ani legalne nie jest.
      Jak przyjmują Cię do szpitala żądają dokumentu ze zdjęciem, żeby zweryfikować czy dane, które podajesz są Twoimi danymi.

      Odpowiedz
      • Czytaj ze zrozumieniem. Pisałem o wizytach prywatnych. Da się.

        Odpowiedz
  3. wk

    O, jakie piękne.

    I możliwe wg mnie także w PL. Niektóre firmy medyczne mają tak tandetnie wdrożone systemy do wideokonferencji, że archiwa teleporad powinny być do przejęcia.

    I powiem Wam, że nie obwiniałbym tu hakerów, a tandeciarzy z rynku medycznego, którym szkoda każdej złotówki na poprawne wdrożenia i administrację. Ale oczywiście, systemy są w pełni wydolne i prywatność naszych pacjentów jest sprawą najwyższej wagi. Obiecanki cacanki, a głupiemu radość.

    Odpowiedz
  4. Pacjent

    W pewnym mieście jest sobie dzienny oddział psychiatryczny, z dobrą kadrą lekarska i ogólnie polecany, bo udziela skutecznej terapii. Mają stronę internetową, formularz kontaktowy, jak wszędzie, a od pandemii zalecają przesyłanie dokumentów online na ich główny mail, z którego odpisują i na który pacjenci mają przesyłać wypisy ze szpitali psychiatrycznych (z pełnymi danymi osobowymi), skierowania, lista leków jakie się przyjmuje, opinie lekarskie i formularz, który ma zawierać szczegółowe informacje na temat psychicznego stanu zdrowia (pacjent sam go wypełnia) i przeszłości pacjenta (źródeł problemu, często dotyczy to relacji z rodzicami, itp).

    Niby wszystko fajnie, ale główny mail jest na… wp.pl W dodatku jednym z dokumentów na być zgoda na przetwarzanie danych osobowych. Jest też klauzula informacyjna RODO, w którym jest napisane wszystko zgodnie z procedurami, oprócz tego, że do danych może mieć dostęp WP, w ogóle nic nie jest wspomniane o tym. W regulaminie usług mailowych WP można wyczytać, że co prawda mają opcje komercyjnych kont i mogą przejąć obowiązki administracji danymi osobowymi, ale skąd pacjent ma wiedzieć, czy akurat posiadają taki pakiet, czy po prostu zwykłą, darmową pocztę?

    W oświadczeniu jest adres mailowy do administratora danych osobowych, który co ciekawe, ma pocztę w domenie strony oddziału :) Napisałem do niego szczegółowe pytania na temat tego czemu wszystko przechodzi przez WP, czy mają ten komercyjny pakiet, jak chronią dane pacjentów, itp. minęły 2 miesiące, brak odpowiedzi.

    Czy ktoś może podpowiedzieć co w tym przypadku można zrobić? Zgłaszać to gdzieś „wyżej”? Może zamiast od razu do urzędników, najpierw lepiej do dyrekcji tego oddziału?

    Odpowiedz
    • wk

      @Pacjent

      OMG to chyba jakaś plaga głównych adresów email placówek opieki zdrowotnej na wp.pl czy innych tego typu. Dokładnie z taką samą sytuacją się zetknąłem w ubiegłym tygodniu (choć inna specjalizacja). Podpinam się pod pytanie – jak obsłużyć taką sytuację? Dodam, że „główny adres” oznacza zwykle adres czytany przez całą obsługę placówki.

      Odpowiedz
    • Henryk

      Robić raban na cały kraj.

      Przesyłanie danych medycznych mailem jest złe samo w sobie, nawet gdyby to nie było wp tylko specjalnie zabezpieczony serwer.
      Email nie daje poufności.

      Robić raban!

      Odpowiedz
      • wk

        @Henryk

        Zgadzam się z Tobą, ale interesowałoby mnie, co dokładnie rozumiesz przez „robić raban”?

        Odpowiedz
        • Hubert

          Najlepiej zainteresować tym jakiś portal internetowy który jest czytany przez nietechnicznych. Onet, WP, Gazeta Wyborcza. Albo przynajmniej wrzucić na wykop.

          Poza tym pisać do UODO, RPO i innych instytucji. Zainteresować tym jakichś normalniejszych posłów. Pisać nawet do unijnych organów zajmujących się ochroną danych.

          Odpowiedz

Odpowiedz