- Ministerstwo Zdrowia potwierdziło wyciek danych pacjentów z Internetowego Konta Pacjenta.
- Atak wykorzystał podatność w systemie P1, umożliwiając dostęp do wrażliwych informacji.
- Incydent dotyczył jednego podmiotu leczniczego, gdzie nie zabezpieczono danych.
- Dostawca repozytorium zobowiązał się do usunięcia błędu do 25 kwietnia 2025 roku.
- Ministerstwo zaleca monitorowanie danych osobowych i zgłaszanie podejrzanych sytuacji.
W wyniku poważnego naruszenia ochrony danych osobowych, Ministerstwo Zdrowia poinformowało o wycieku danych pacjentów z Internetowego Konta Pacjenta (IKP). W okresie od 19 do 25 kwietnia 2025 roku, dzięki wykorzystaniu podatności w systemie P1, nieuprawniony dostęp do dokumentacji medycznej umożliwił pobranie wrażliwych informacji, takich jak imiona, nazwiska, numery PESEL oraz dane dotyczące zdrowia pacjentów.
Opis incydentu
Ministerstwo Zdrowia ujawniło, że incydent miał miejsce w jednym z podmiotów leczniczych, gdzie nie zabezpieczono odpowiednio repozytorium danych. Osoba, która zgłosiła podatność, wykorzystała błąd, aby pobrać dane czterech innych pacjentów. Choć na pierwszy rzut oka może się wydawać, że problem jest niewielki, istnieje obawa, że mogło dojść do szerszego naruszenia bezpieczeństwa.
Mechanizm ataku
Podatność, która została wykorzystana, polegała na wprowadzeniu zmian w adresie URL w przeglądarce internetowej podczas korzystania z aplikacji IKP. Dzięki temu możliwe było pobranie dokumentów EDM, co skutkowało dostępem do danych osobowych pacjentów. Ministerstwo podkreśla, że testy przeprowadzone przy użyciu konta IKP innej osoby w innym podmiocie leczniczym nie potwierdziły możliwości nieuprawnionego dostępu do dokumentacji, co sugeruje, że problem dotyczył jedynie jednego szpitala.
Reakcja i działania naprawcze
W odpowiedzi na incydent, CSIRT CeZ skontaktował się z dostawcą repozytorium oraz szpitalem, aby rozwiązać problem. Dostawca potwierdził błąd i zobowiązał się do jego usunięcia do 25 kwietnia 2025 roku. W dniu, w którym błąd został zgłoszony, dostawca poinformował o przygotowaniu stosownych poprawek, co powinno zminimalizować ryzyko podobnych incydentów w przyszłości.
Potencjalne konsekwencje
Pomimo podjętych działań, nie ma pewności, czy incydent ograniczał się tylko do jednego naruszenia. Istnieje możliwość, że inne osoby mogły uzyskać dostęp do danych pacjentów i nie zgłosiły tego faktu. Ministerstwo Zdrowia zaleca zachowanie szczególnej czujności, a także zastrzeżenie numeru PESEL oraz monitorowanie nietypowych wiadomości, które mogą pochodzić od osób podszywających się pod lekarzy lub przedstawicieli ministerstwa.
Wnioski i zalecenia
W obliczu tego incydentu, kluczowe jest, aby pacjenci byli świadomi zagrożeń związanych z ochroną danych osobowych. Ministerstwo Zdrowia podkreśla, że każdy powinien być czujny i w razie wątpliwości zgłaszać podejrzane sytuacje. Warto również zastrzec swoje dane osobowe, aby zminimalizować ryzyko ich niewłaściwego wykorzystania. Współpraca między instytucjami a pacjentami jest niezbędna, aby zapewnić bezpieczeństwo danych w systemie ochrony zdrowia.