Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Przejęto konto lekarza w aplikacji Medfile; atakujący wypisywał recepty na środki narkotyczne
Dodatkowo lekarz z Wrocławia informuje o wycieku danych:
“Dane Państwa – imię, nazwisko, płeć, adres, PESEL, w niektórych przypadkach numer telefonu, a także dane medyczne z wizyt dermatologicznych, były gromadzone w zewnętrznym lekarskim programie gabinetowym Medfile, do którego w wyniku cyberataku nastąpił nieuprawniony dostęp. W wyniku ataku na dane niektórych (ok. 30) pacjentów wygenerowano w programie po 1-2 recepty na narkotyczne środki przeciwbólowe.”
Ciekawostka – system Medfile nie posiada zbyt mocnych reguł jeśli chodzi o bezpieczeństwo haseł. Hasło: Katarzyna1 przechodzi walidację:
Z drugiej strony Medfile pozwala na skonfigurowanie weryfikacji dwuetapowej:
Wtedy nawet w przypadku słabego hasła / wycieku hasła – atakujący nie ma możliwości zalogowania się na konto.
Oczywiście warto również posiadać silne hasła – idealnie 15+ znaków, 4-5 nieoczywistych słów sklejonych ze sobą. A już najlepiej korzystać z menedżera haseł – np. KeePassXC.
~ms
Aby wystawić receptę jest potrzebny certyfikat , do certyfikatu jest potrzebne kolejne hasło . Gdyby program nie pozwalał zapisać w bazie tego hasła nie było by problemu . Są programy , które przy zalogowaniu i przy wystawieniu pierwszej recepty pytają o hasło lekarza do certu i trzymają później to hasło w pamięci do czasu kiedy lekarza nie wyloguje się z aplikacji , i to jest spoko . Druga sprawa, że nikt poza lekarzem nie powinien znać hasła do certyfikatu , a znam przypadki gdzie lekarze dla wygody podają to hasło np pielęgniarka żeby one wystawiały recepty. Niejednokrotnie mi jako informatykowi sami chcieli podawać hasło żeby coś wysłać bo im np nie działało . Zawsze odmawiałem i edukowałem . Pytanie jak mi tak chętnie chcieli podać hasło to pytanie ile innych informatyków znanych ich hasło (często lekarze pracują w wielu placówkach) .
Bo lekarze są wygodni i lubią zwalać robotę na innych (informatyków, pielęgniarki, inny personel). Miałem trochę z nimi do czynienia jako wsparcie IT (nie heldesk), to się napatrzyłem. Były nawet takie przypadki, że trzeba było zatrudnić “sekretarki medyczne” dla niektórych bo p. doktor nie miała ochoty wpisywać danych do komputera. A jak dane to i hasła trzeba było podać takim sekretarkom. A wiecie ile oni płacili takim sekretarkom? To nic dziwnego że potem są wycieki.
A co do recept to też zauważyłem, że artykuł nic nie mówi certyfikatach lekarzy, a to przecież widać podczas wizyty, że lekarz korzysta z czegoś takiego. Nie jest więc tak łatwo wystawić taką receptę… coś pan lekarz kręci.
Wiesz Marku… piszę tego posta 3 raz bo chciałem się odnieść bardziej merytorycznie ale zdradzanie co i jak jest zabezpieczone, upraszczane i jak działa od kuchni niczego tu nie wniesie.
Powiem tyle: zaczynałem pracę w erze kartkowej/papierowej – wtedy w ciągu 7 godzin w trakcie jesiennej/zimowej fali przeziębień dawało się przyjąć 60-70 osób – to był hardcore, ale było to wykonalne i nikt nie odchodził z kwitkiem. Standardem było ok 50. Obecnie w erze cyfrowej w tym samym czasie przyjmuje 40 osób spinając poślady w szczycie zachorowań a komfort pracy jest przy 30… tak bardzo ułatwiono nam pracę a Wam dostępność do ochrony zdrowia przy pomocy informatyzacji.
Skąd pewność, że konto lekarza zostało przejęte, a nie że sam lekarz sprzedawał te środki nielegalnie?
miałem podobnie. 2 końcu informatyk to zawód zaufania publicznego 😉. nawet prawnicy nie mają dostępu do tyłu tajemnic klientów.