Wyciek z serwisu upacjenta.pl – PESELE, informacje o stanie zdrowia, informacje kontaktowe

Kilka osób przesłało nam treść informacji rozsyłanej przez serwis upacjenta[.].pl:

(…) jesteśmy zobowiązani, by poinformować Państwa o incydencie, który miał miejsce 3 listopada 2020 r.

Tego dnia doszło do nieuprawnionego i nielegalnego dostępu do systemu naszego dostawcy usług teleinformatycznych – firmy RIOT Agency. W konsekwencji dostęp do Państwa danych mogła uzyskać nieznana nam osoba, która może próbować wykorzystać je we własnych celach. Wśród danych identyfikacyjnych, które mógł objąć ten incydent, mogą znaleźć się: imię, nazwisko, PESEL, informacje o stanie zdrowia czy informacje kontaktowe.

Niezwłocznie podjęliśmy wszystkie możliwe działania zmierzające do pełnego wyjaśnienia sprawy oraz do wykluczenia ryzyka wykorzystania danych w sposób nieuprawniony. W tym celu m.in. poinformowaliśmy i współpracujemy z Urzędem Ochrony Danych Osobowych.

Obecnie wg. naszej najlepszej wiedzy, popartej dodatkowym przeglądem bezpieczeństwa naszych systemów, informacjami uzyskanymi od naszego dostawcy usług teleinformatycznych – firmy RIOT Agency, nie jest już możliwy nieautoryzowany dostęp do naszych baz.

Jak dokładnie doszło do wycieku? Obecnie trudno powiedzieć coś więcej. Z naszych doświadczeń – niedawno widzieliśmy (u innego sporego podmiotu medycznego) hasło do bazy danych dostępne w publicznym, łatwym do zlokalizowania miejscu (+ sam serwer DB dostępny na publicznym adresie IP). W innym (również medycznym) przypadku szczegółowe dane klientów były dostępne po prostu w publicznym pliku XML.

Jeszcze inna historia to opisywany przez nas prosty sposób na odczytanie wyników COVID-19 w jednym z LAB-ów czy prosta enumeracja endpointu API w słowackim systemie (dawało to dostęp do danych osobowych i wyników testów na COVID-19 dla ~400 000 osób). Jeszcze w innym LABie widzieliśmy podatność SQL injection…

W skrócie – pamiętajcie o testach bezpieczeństwa, przed wystawieniem dowolnego systemu do Internetu.

–ms