Błędy w systemie Multidiagnostica. Pozwalały odczytać cudzy PESEL
Klienci firmy Multidiagnostica oraz innych placówek korzystających z systemu opartego o domenę lab-online.pl powinni wiedzieć, że ich dane mogły trafić w niepowołane ręce. W systemie dla pacjentów wykryto wiele błędów, które pozwalały m.in. odczytać cudze nazwisko, PESEL i obejrzeć zdjęcia RTG.
24.01.2024 12:12
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
O potencjalnym wycieku informuje Zaufana Trzecia Strona, bazując na zgłoszeniu od czytelnika, który zalogował się do systemu, by obejrzeć swoje zdjęcie RTG. Konieczne jest do tego podanie PESEL-u oraz hasła lub PIN-u i na tym etapie kontrowersji nie ma. Okazuje się jednak, że twórcy oprogramowania popełnili wiele "szkolnych" błędów, w wyniku których bez większej gimnastyki można spreparować adres URL w przeglądarce, by trafić na informacje o innym pacjencie.
W ten sposób udało odczytać między innymi imiona, nazwiska, PESEL-e oraz informacje o przypisanych lekarzach obcych pacjentów, w tym także dotrzeć do ich zdjęć RTG. Problem udało się zauważyć najprawdopodobniej tylko dzięki temu, że z aplikacji musiał skorzystać dociekliwy pacjent-programista bez złych zamiarów. Jak podaje Zaufana Trzecia Strona, błędy zabezpieczeń zostały już zgłoszone firmie Multidiagnostica, a ta zareagowała najlepiej jak tylko mogła - chwilę później system już nie działał, a serwis dostał potwierdzenie o przyjęciu zgłoszenia i zawiadomieniu UODO.
Nie zmienia to jednak faktu, że wcześniej problem występował, a nazwiska, PESEL-e i inne dane pacjentów mogły trafić w niepowołane ręce. Zaufana Trzecia Strona radzi pacjentom sprawdzić, czy nie korzystali z usług firmy Multidiagnostica na przykład poprzez przeszukanie historii w przeglądarce.
Dalsza część artykułu pod materiałem wideo
W niedalekiej przyszłości w podobnych sytuacjach użytkowników powinna chronić usługa zastrzegania numeru PESEL. Samą procedurę można przejść już teraz (od niedawna również z poziomu mobilnej wersji aplikacji mObywatel), ale weryfikacja stanu PESEL-u będzie wymagana dopiero za kilka miesięcy. Do tego czasu zastrzeżenie PESEL-u to wyłącznie działanie na wyrost, choć pozwoli nie przeoczyć terminu, kiedy usługa zacznie już w pełni działać tak, jak przewidzieli to jej twórcy.
Zobacz także
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl