Podatność w IKP naraża dane pacjentów na niebezpieczeństwo

9 maja, 2025 18:52|0 komentarzy|Opublikowane przez: Tomasz Bartecki

W dniu 15 maja 2025 roku odbędzie się wydarzenie Sekurak Cyberstarter 2025, które skupi się na bezpieczeństwie cyfrowym. W kontekście tego wydarzenia ujawniono poważną podatność w Internetowym Koncie Pacjenta (IKP), która mogła prowadzić do nieuprawnionego dostępu do danych osobowych i medycznych użytkowników. W artykule przedstawiamy szczegóły incydentu oraz zalecenia dotyczące bezpieczeństwa aplikacji.

  • Wydarzenie Sekurak Cyberstarter 2025 odbędzie się 15 maja 2025 roku.
  • Wykryto poważną podatność w Internetowym Koncie Pacjenta (IKP).
  • Podatność umożliwiała nieautoryzowany dostęp do danych innych użytkowników.
  • Incydent dotyczył ujawnienia danych czterech osób.
  • Naruszenie obejmowało dane osobowe i medyczne użytkowników.

Opis podatności w IKP

Podatność, która została zidentyfikowana, pozwalała na pozyskiwanie danych innych użytkowników IKP poprzez manipulację adresem URL. Jak wskazuje oświadczenie, zmiana adresu URL w przeglądarce mogła prowadzić do nieautoryzowanego dostępu do dokumentacji medycznej. Przykładowo, użytkownik mógł wpisać adres z innym identyfikatorem, co skutkowało dostępem do danych innej osoby. „W przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników” – czytamy w oświadczeniu.

Skala naruszenia danych

W wyniku tego incydentu doszło do pozyskania dokumentacji medycznej czterech innych osób. Zgłaszający problem nie przekazał tożsamości osób, których dane zostały ujawnione. Naruszenie poufności obejmowało imiona i nazwiska, daty urodzenia, adresy zamieszkania, numery PESEL oraz dane dotyczące zdrowia. „W wyniku zdarzenia doszło do nieuprawnionego ujawnienia danych osobowych tych osób” – podkreślono w oświadczeniu.

Ograniczenia incydentu

Choć incydent był poważny, warto zaznaczyć, że podatność była ograniczona do konkretnego podmiotu leczniczego. „Podatność była ograniczona do konkretnego repozytorium danych, w konkretnym podmiocie leczniczym” – informuje oświadczenie. Jednakże, istnieje obawa, że inne podmioty lecznicze mogą mieć podobne problemy, co rodzi pytania o bezpieczeństwo systemu e-zdrowie jako całości.

Analiza przyczyn problemu

Według wstępnych ustaleń CSIRT CeZ, problem nie leżał po stronie aplikacji IKP ani systemu e-zdrowie (P1), lecz w sposobie implementacji i konfiguracji zewnętrznego systemu repozytorium danych. „Zewnętrzne systemy przechowujące dane medyczne muszą dodatkowo weryfikować uprawnienia użytkownika w centralnym systemie P1 przed udostępnieniem dokumentu” – zaznaczono w analizie. Okazało się, że podmiot leczniczy nie wdrożył wymaganego mechanizmu weryfikacji, co doprowadziło do ujawnienia danych.

Zalecenia dotyczące bezpieczeństwa

W obliczu ujawnionych zagrożeń, eksperci zalecają regularne testy bezpieczeństwa aplikacji, w tym testy penetracyjne, które powinny być przeprowadzane nie tylko w trakcie pierwszego wdrożenia. Programiści powinni również zapoznać się z dokumentem OWASP Authorization Cheat Sheet, który może pomóc w eliminacji podobnych błędów w przyszłości. „Realizujcie regularne testy bezpieczeństwa aplikacji” – apelują specjaliści.

Źródło: sekurak.pl

Na kogo zagłosujesz w najbliższych wyborach prezydenckich?

Sprawdź wyniki

Loading ... Loading ...
Subscribe
Powiadom o
guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments