Wyciek danych pacjentów. Warto zastrzec PESEL (aktualizacja)

Pacjenci DCG Centrum Medyczne otrzymują SMS-y z informacją o nieuprawnionym dostępie do szeregu danych z powodu wycieku ze spółki Madily. W niepowołane ręce trafiły m.in. nazwiska, numery PESEL, dane teleadresowe oraz informacje o wizytach i stanie zdrowia. Sprawa zostało zgłoszone do organów ścigania.

O wycieku danych pacjentów ostrzega Niebezpiecznik. Czytelnicy serwisu zwrócili uwagę na SMS-y, które dostali w tej sprawie. Komunikacja zaczęła się od wiadomości bez szczegółów związanych z zakresem danych, do których dostały się niepowołane osoby. Dłuższe oświadczenie zostało opublikowane na stronie internetowej.

W kolejnej wiadomości SMS DCG Centrum Medyczne doprecyzowało, że chodzi m.in. o imiona, nazwiska, PESEL-e, adresy zamieszkania, numery telefonu czy adresy e-mail. Jak ustalił Niebezpiecznik, łącznie pacjenci dostaną aż cztery SMS-y, bo są w nietypowy sposób zakolejkowane do wysłania do poszkodowanych.

DCG Centrum Medyczne wspomina w SMS-ach o "procesorze", który przetwarzał dane pacjentów. Chodzi o firmę Medily, która dostarczała oprogramowanie Aurero wykorzystywane przez DCG do obsługi wizyt. Współpraca firm trwała w latach 2019-2021 i zakończyła się rozwiązaniem umowy, które niestety nie poskutkowało usunięciem danych pacjentów. Wyciek ma dotyczyć danych gromadzonych przez Medily w 2019 roku.

Dalsza część artykułu pod materiałem wideo

Co od strony technicznej najbardziej interesujące, okazuje się, że wyciek miał miejsce po uzyskaniu nieautoryzowanego dostępu to testowego środowiska firmy Medily. Wynika z tego, że firma testowała swoje oprogramowanie nie dość, że na autentycznych, nieszyfrowanych danych pacjentów, to jeszcze w tym przypadku na danych, które lata temu miały zostać usunięte w wyniku rozwiązania umowy z DCG.

Należy podkreślić, że dane wyciekły z firmy Medily, a nie DCG Centrum Medyczne, na co firma dodatkowo zwróciła uwagę w komunikacji do redakcji. Poniżej załączamy kluczowe informacje, które otrzymaliśmy od Maksymiliana Markuszewskiego, Wiceprezesa Zarządu DCG Centrum Medyczne:

1. Do kradzieży danych doszło w Medily sp. z o.o., a nie w DCG.
2. Od sierpnia 2019 do stycznia 2021 spółka DCG Centrum Medyczne kupowała od Madily sp. z o.o. oprogramowanie Aurero do zarządzania danymi medycznymi dla przychodni, szpitali, klinik, gabinetów lekarskich i innych placówek medycznych.
3. Spółka DCG zakończyła współpracę z Medily sp. z o.o. z dniem 31 stycznia 2021 roku, a więc ponad trzy lata temu.
4. Zgodnie z umową Medily sp z o.o. była zobowiązana do przekazania oraz usunięcia danych zapasowych niezwłocznie po zakończeniu Umowy, czego Medily nie zrobiła.
5. W zaistniałej sytuacji, podobnie jak jej klienci, również spółka DCG (i inne kliniki) jest ofiarą incydentu naruszenia bezpieczeństwa danych a jej reputacja została narażona na szwank. To my zdecydowaliśmy się w pierwszej kolejności powiadomić niezwłocznie wszystkich potencjalnie dotkniętych sprawą pacjentów. Inne kliniki korzystające z Aurero prawdopodobnie również zostały poszkodowane wyciekiem.

Chociaż wiele elementów tej układanki może budzić poważne obawy, nie zmienia to faktu, że dane pacjentów DCG Centrum Medyczne są w sieci - i to nie tylko w rękach atakujących, ale i "na forum cyberprzestępczym", jak wspomniano w komunikacji SMS. Co ciekawe, zdaniem DCG nie ma powodów do obaw - dowiedział się Niebezpiecznik w odpowiedzi na zadane pytania.

Mając na uwadze swoje bezpieczeństwo, pacjenci, których dane trafiły w ten sposób do sieci, najlepiej zrobią, gdy chociaż zastrzegą swój PESEL (choć w tym momencie jest to działanie, które nie przyniesie efektu od razu). Od czerwca analizowanie rejestru zastrzeżonych numerów będzie obowiązkiem dla instytucji, co poprawi bezpieczeństwo w takich sytuacjach. PESEL można zastrzec na przykład z poziomu aplikacji mObywatel.

Równocześnie należy po prostu być czujnym: nie reagować na nietypowe wezwania przez SMS-y, telefony czy e-maile, nie klikać nieznanych łączy i nie pobierać dziwnych załączników z wiadomości. Oszuści wykorzystują pozyskane dane do szantażów i innych rodzajów oszustw.