Aplikacja używana przez apteki i lekarzy miała poważną lukę. Oznacza to, że dostęp do danych około 10 milionów osób mógł mieć właściwie każdy. Chociaż po zgłoszeniu przez sygnalistę udało się lukę załatać, to nie wiadomo, czy informacje nie wyciekły już wcześniej.
Luki w oprogramowaniu gabinetowym w systemie e-zdrowie pozwalały na uzyskanie dostępu do danych pacjentów. Można było także podszywać się pod lekarzy w państwowym systemie do e-recept.
– Z punktu widzenia pojedynczego pacjenta to problem większy niż wyciek danych ze szpitala. Lekarz POZ ma bowiem dostęp do całej historii leczenia – mówi Tomasz Zieliński, wiceprezes zarządu Polskiej Izby Informatyki Medycznej.
Z programów, których lekarze używają do obsługi wizyt, można było wydobyć dostęp do dokumentacji medycznej pacjentów i ich danych osobowych (w tym adresowych i kontaktowych), a także uzyskać dostęp do systemu e-WUŚ NFZ. Za jego pomocą przestępca mógłby wystawiać refundowane recepty, skierowania czy zwolnienia lekarskie – opisał sytuację Dziennik Gazeta Prawna.
Anonimowy sygnalista poinformował o luce
Sprawę ujawniło doniesienie anonimowego sygnalisty. Od razu zabrano się do łatania luki. Jednak nie wiadomo, czy już wcześniej ktoś nie wykorzystał podatności i nie otrzymał dostępu do danych kilkunastu tysięcy podmiotów medycznych, w tym przychodni POZ, gabinetów stomatologicznych czy aptek.
Błąd ma leżeć po stronie producentów oprogramowania gabinetowego. Wszystko przez to, że dostęp do bazy danych pacjentów odbywał się w ich aplikacjach przy użyciu zakodowanego na stałe hasła. Niestety jednocześnie było ono zaszyte w kodzie oprogramowania. To prosta droga dla hakerów do przejęcia dostępu.
Eksperci alarmują też, że małe gabinety potrzebują wsparcia w cyberbezpieczeństwie. Takie sytuacje pokazują to najwyraźniej.
Źródło: PAP, Dziennik Gazeta Prawna, bankier.pl
