Błędy w systemie Multidiagnostica. Pozwalały odczytać cudzy PESEL

Błędy w systemie Multidiagnostica. Pozwalały odczytać cudzy PESEL

Dowód osobisty
Dowód osobisty
Źródło zdjęć: © dobreprogramy | Oskar Ziomek
Oskar Ziomek
24.01.2024 12:12

Klienci firmy Multidiagnostica oraz innych placówek korzystających z systemu opartego o domenę lab-online.pl powinni wiedzieć, że ich dane mogły trafić w niepowołane ręce. W systemie dla pacjentów wykryto wiele błędów, które pozwalały m.in. odczytać cudze nazwisko, PESEL i obejrzeć zdjęcia RTG.

O potencjalnym wycieku informuje Zaufana Trzecia Strona, bazując na zgłoszeniu od czytelnika, który zalogował się do systemu, by obejrzeć swoje zdjęcie RTG. Konieczne jest do tego podanie PESEL-u oraz hasła lub PIN-u i na tym etapie kontrowersji nie ma. Okazuje się jednak, że twórcy oprogramowania popełnili wiele "szkolnych" błędów, w wyniku których bez większej gimnastyki można spreparować adres URL w przeglądarce, by trafić na informacje o innym pacjencie.

W ten sposób udało odczytać między innymi imiona, nazwiska, PESEL-e oraz informacje o przypisanych lekarzach obcych pacjentów, w tym także dotrzeć do ich zdjęć RTG. Problem udało się zauważyć najprawdopodobniej tylko dzięki temu, że z aplikacji musiał skorzystać dociekliwy pacjent-programista bez złych zamiarów. Jak podaje Zaufana Trzecia Strona, błędy zabezpieczeń zostały już zgłoszone firmie Multidiagnostica, a ta zareagowała najlepiej jak tylko mogła - chwilę później system już nie działał, a serwis dostał potwierdzenie o przyjęciu zgłoszenia i zawiadomieniu UODO.

Przykładowe dane obcego pacjenta
Przykładowe dane obcego pacjenta© Zaufana Trzecia Strona

Nie zmienia to jednak faktu, że wcześniej problem występował, a nazwiska, PESEL-e i inne dane pacjentów mogły trafić w niepowołane ręce. Zaufana Trzecia Strona radzi pacjentom sprawdzić, czy nie korzystali z usług firmy Multidiagnostica na przykład poprzez przeszukanie historii w przeglądarce.

Dalsza część artykułu pod materiałem wideo

W niedalekiej przyszłości w podobnych sytuacjach użytkowników powinna chronić usługa zastrzegania numeru PESEL. Samą procedurę można przejść już teraz (od niedawna również z poziomu mobilnej wersji aplikacji mObywatel), ale weryfikacja stanu PESEL-u będzie wymagana dopiero za kilka miesięcy. Do tego czasu zastrzeżenie PESEL-u to wyłącznie działanie na wyrost, choć pozwoli nie przeoczyć terminu, kiedy usługa zacznie już w pełni działać tak, jak przewidzieli to jej twórcy.

Zobacz także:
Jak zastrzec PESEL? Poradnik krok po kroku
Jak zastrzec PESEL? Poradnik krok po kroku

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl

Programy

Zobacz więcej
internetbezpieczeństwowyciek danych
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (7)