Jak możemy dowiedzieć się z komunikatu opublikowanego przez Ministerstwo Zdrowia, doszło do wycieku danych pacjentów z IKP (Internetowe Konto Pacjenta). W wyniku błędu możliwe było pobranie dokumentacji medycznej (EDM).
Jakich danych dotyczy wyciek z IKP?
Ministerstwo Zdrowia poinformowało, że w okresie od 19 kwietnia do 25 kwietnia 2025 roku miało miejsce naruszenie ochrony danych osobowych gromadzonych w tzw. systemie P1. Wykorzystana została podatność pozwalająca na nieuprawniony dostęp do danych pacjentów.
Wspomniana podatność polegała na wprowadzeniu zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP. Odpowiednie zmiany umożliwiły finalnie pobranie dokumentów EDM. W ten sposób możliwe było zdobycie takich danych jak: imiona i nazwiska, data urodzenia, adresy zamieszkania lub pobytu, numery PESEL, seria i numer dowodu osobistego oraz dane dotyczące zdrowia.
Czy powinniśmy się obawiać?
Ministerstwo Zdrowia zaznacza, że nieuprawniony dostęp uzyskała osoba, która zgłosiła podatność. Ten użytkownik wykorzystał błąd i pobrał dane czterech innych pacjentów. Mogłoby to sugerować, że tak naprawdę jest to niewielki problem, ale nie musi tak być, o czym już za chwilę.
Dowiedzieliśmy się jeszcze, że podatność była ograniczona do konkretnego repozytorium danych, w konkretnym podmiocie leczniczym. Należy dodać, że przeprowadzone zostały testy przy użyciu konta IKP innej osoby i repozytorium innego podmiotu. Nie potwierdziły one możliwości pobrania dokumentów nieuprawnionego użytkownika. Sugeruje to, że błąd faktycznie dotyczył tylko jednego szpitala.
Śledztwo wykazało, że w przypadku tego jednego szpitala nie zabezpieczono repozytorium danych w zakresie wymogu weryfikacji uprawnień użytkownika. CSIRT CeZ skontaktował się z dostawcą repozytorium oraz podmiotem leczniczym (szpitalem), aby rozwiązać problem. Dostawca potwierdził błąd i zobowiązał się do jego usunięcia do 25 kwietnia 2025 roku. Następnie, we wskazanym dniu, poinformował o przygotowaniu stosowanych poprawek.
Niestety, nie ma 100% pewności, czy doszło tylko do tego jednego naruszenia czy jednak innym osobom też udało się uzyskać dostęp do dokumentacji medycznej. To naprawdę jedna z kluczowych kwestii – jak najbardziej możliwy jest scenariusz, że ktoś jest w posiadaniu danych pacjentów, które zdobył i nigdzie tego nie zgłosił.
Warto więc zachować czujność. Tym bardziej, że nie wiemy od kiedy podatność była w systemie – znany tylko datę naruszenia, które zostało zgłoszone przez jednego z użytkowników. Zaleca się zastrzeżenie numeru PESEL, jeśli jeszcze tego nie zrobiliśmy, a także zwracanie szczególnej uwagi na nietypowe wiadomości, w których ktoś może podszywać się pod lekarza czy Ministerstwo Zdrowia.
