Pacjenci DCG Centrum Medyczne otrzymują SMS-y z informacją o nieuprawnionym dostępie do szeregu danych. W niepowołane ręce trafiły m.in. nazwiska, numery PESEL, dane teleadresowe oraz informacje o wizytach i stanie zdrowia. Sprawa zostało zgłoszone do organów ścigania.

O wycieku danych z DCG Centrum Medyczne ostrzega Niebezpiecznik. Czytelnicy serwisu zwrócili uwagę na SMS-y, które dostali w tej sprawie. Komunikacja zaczęła się od lakonicznej wiadomości bez jakichkolwiek szczegółów związanych z zakresem danych, do których dostały się niepowołane osoby.

Dopiero w kolejnej wiadomości DCG Centrum Medyczne doprecyzowało, że chodzi m.in. o imiona, nazwiska, PESEL-e, adresy zamieszkania, numery telefonu czy adresy e-mail. Jak ustalił Niebezpiecznik, łącznie pacjenci dostaną aż cztery SMS-y, bo są w nietypowy sposób zakolejkowane do wysłania do poszkodowanych.

DCG Centrum Medyczne wspomina w SMS-ach o "procesorze", który przetwarzał dane pacjentów. Chodzi o firmę Medily, która dostarczała oprogramowanie Aurero wykorzystywane przez DCG do obsługi wizyt. Współpraca firm trwała w latach 2019-2021 i zakończyła się rozwiązaniem umowy, które niestety nie poskutkowało usunięciem danych pacjentów. Wyciek ma dotyczyć danych gromadzonych do 2019 roku.

Co od strony technicznej najbardziej interesujące, okazuje się, że wyciek miał miejsce po uzyskaniu nieautoryzowanego dostępu to testowego środowiska firmy Medily. Wynika z tego, że firma testowała swoje oprogramowanie nie dość, że na autentycznych, nieszyfrowanych danych pacjentów, to jeszcze w tym przypadku na danych, które lata temu miały zostać usunięte w wyniku rozwiązania umowy z DCG.

Zastrzeż PESEL i uważaj na phishing

Chociaż wiele elementów tej układanki może budzić poważne obawy, albo wręcz bulwersować, nie zmienia to faktu, że dane pacjentów DCG Centrum Medyczne są w sieci - i to nie tylko w rękach atakujących, ale i "na forum cyberprzestępczym", jak wspomniano w komunikacji SMS. Co ciekawe, zdaniem DCG nie ma powodów do obaw - dowiedział się Niebezpiecznik w odpowiedzi na zadane pytania.

Mając na uwadze swoje bezpieczeństwo, pacjenci, których dane trafiły w ten sposób do sieci, najlepiej zrobią, gdy chociaż zastrzegą swój PESEL (choć w tym momencie jest to działanie, które nie przyniesie efektu od razu). Od czerwca analizowanie rejestru zastrzeżonych numerów będzie obowiązkiem dla instytucji, co poprawi bezpieczeństwo w takich sytuacjach. PESEL można zastrzec na przykład z poziomu aplikacji mObywatel.

Równocześnie należy po prostu być czujnym: nie reagować na nietypowe wezwania przez SMS-y, telefony czy e-maile, nie klikać nieznanych łączy i nie pobierać dziwnych załączników z wiadomości. Oszuści wykorzystują pozyskane dane do szantażów i innych rodzajów oszustw.

