Wyciek z serwisu upacjenta.pl – PESELE, informacje o stanie zdrowia, informacje kontaktowe

14 listopada 2020, 23:02 | W biegu | komentarze 2
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Kilka osób przesłało nam treść informacji rozsyłanej przez serwis upacjenta[.].pl:

(…) jesteśmy zobowiązani, by poinformować Państwa o incydencie, który miał miejsce 3 listopada 2020 r.

Tego dnia doszło do nieuprawnionego i nielegalnego dostępu do systemu naszego dostawcy usług teleinformatycznych – firmy RIOT Agency. W konsekwencji dostęp do Państwa danych mogła uzyskać nieznana nam osoba, która może próbować wykorzystać je we własnych celach. Wśród danych identyfikacyjnych, które mógł objąć ten incydent, mogą znaleźć się: imię, nazwisko, PESEL, informacje o stanie zdrowia czy informacje kontaktowe.

Niezwłocznie podjęliśmy wszystkie możliwe działania zmierzające do pełnego wyjaśnienia sprawy oraz do wykluczenia ryzyka wykorzystania danych w sposób nieuprawniony. W tym celu m.in. poinformowaliśmy i współpracujemy z Urzędem Ochrony Danych Osobowych.

Obecnie wg. naszej najlepszej wiedzy, popartej dodatkowym przeglądem bezpieczeństwa naszych systemów, informacjami uzyskanymi od naszego dostawcy usług teleinformatycznych – firmy RIOT Agency, nie jest już możliwy nieautoryzowany dostęp do naszych baz.

Jak dokładnie doszło do wycieku? Obecnie trudno powiedzieć coś więcej. Z naszych doświadczeń – niedawno widzieliśmy (u innego sporego podmiotu medycznego) hasło do bazy danych dostępne w publicznym, łatwym do zlokalizowania miejscu (+ sam serwer DB dostępny na publicznym adresie IP). W innym (również medycznym) przypadku szczegółowe dane klientów były dostępne po prostu w publicznym pliku XML.

Jeszcze inna historia to opisywany przez nas prosty sposób na odczytanie wyników COVID-19 w jednym z LAB-ów czy prosta enumeracja endpointu API w słowackim systemie (dawało to dostęp do danych osobowych i wyników testów na COVID-19 dla ~400 000 osób). Jeszcze w innym LABie widzieliśmy podatność SQL injection…

W skrócie – pamiętajcie o testach bezpieczeństwa, przed wystawieniem dowolnego systemu do Internetu.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Abadon

    A skad wiadomo ze to nie bylo umyslne? Moze to znow jakis przekret, dali latwy dostep do bazy by zlecony chakier mogl upozorowac wlamanie i zeby firma miala mozliwosc wyludzic odszkodowanie od ubezpieczyciela. Sluzby i UODO powinni pierw przeswietlic firme.

    Odpowiedz
    • T.

      „Znow”, to znaczy juz byl taki przekret?

      Dasz link, aby mozna poznac jakies szczegoly? Dzieki.

      Odpowiedz

Odpowiedz