Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wyciek z serwisu upacjenta.pl – PESELE, informacje o stanie zdrowia, informacje kontaktowe
Kilka osób przesłało nam treść informacji rozsyłanej przez serwis upacjenta[.].pl:
(…) jesteśmy zobowiązani, by poinformować Państwa o incydencie, który miał miejsce 3 listopada 2020 r.
Tego dnia doszło do nieuprawnionego i nielegalnego dostępu do systemu naszego dostawcy usług teleinformatycznych – firmy RIOT Agency. W konsekwencji dostęp do Państwa danych mogła uzyskać nieznana nam osoba, która może próbować wykorzystać je we własnych celach. Wśród danych identyfikacyjnych, które mógł objąć ten incydent, mogą znaleźć się: imię, nazwisko, PESEL, informacje o stanie zdrowia czy informacje kontaktowe.
Niezwłocznie podjęliśmy wszystkie możliwe działania zmierzające do pełnego wyjaśnienia sprawy oraz do wykluczenia ryzyka wykorzystania danych w sposób nieuprawniony. W tym celu m.in. poinformowaliśmy i współpracujemy z Urzędem Ochrony Danych Osobowych.
Obecnie wg. naszej najlepszej wiedzy, popartej dodatkowym przeglądem bezpieczeństwa naszych systemów, informacjami uzyskanymi od naszego dostawcy usług teleinformatycznych – firmy RIOT Agency, nie jest już możliwy nieautoryzowany dostęp do naszych baz.
Jak dokładnie doszło do wycieku? Obecnie trudno powiedzieć coś więcej. Z naszych doświadczeń – niedawno widzieliśmy (u innego sporego podmiotu medycznego) hasło do bazy danych dostępne w publicznym, łatwym do zlokalizowania miejscu (+ sam serwer DB dostępny na publicznym adresie IP). W innym (również medycznym) przypadku szczegółowe dane klientów były dostępne po prostu w publicznym pliku XML.
Jeszcze inna historia to opisywany przez nas prosty sposób na odczytanie wyników COVID-19 w jednym z LAB-ów czy prosta enumeracja endpointu API w słowackim systemie (dawało to dostęp do danych osobowych i wyników testów na COVID-19 dla ~400 000 osób). Jeszcze w innym LABie widzieliśmy podatność SQL injection…
W skrócie – pamiętajcie o testach bezpieczeństwa, przed wystawieniem dowolnego systemu do Internetu.
–ms
A skad wiadomo ze to nie bylo umyslne? Moze to znow jakis przekret, dali latwy dostep do bazy by zlecony chakier mogl upozorowac wlamanie i zeby firma miala mozliwosc wyludzic odszkodowanie od ubezpieczyciela. Sluzby i UODO powinni pierw przeswietlic firme.
„Znow”, to znaczy juz byl taki przekret?
Dasz link, aby mozna poznac jakies szczegoly? Dzieki.