Wyszukaj w serwisie
biznes finanse technologie praca handel Eko Energetyka polska i świat
BiznesINFO.pl > Technologie > Dane medyczne nawet 10 mln Polaków podane jak na tacy. Niepokojące doniesienia
Maciej Olanicki
Maciej Olanicki 17.06.2024 18:41

Dane medyczne nawet 10 mln Polaków podane jak na tacy. Niepokojące doniesienia

komputer lekarz
Fot. Unsplash/National Cancer Institute

Pentester i audytor cyberbezpieczeństwa Jakub Staśkiewicz poinformował na blogu o bardzo poważnych lukach w oprogramowaniu stosowanym w polskich klinikach. W połączeniu z licznymi uchybieniami administracyjnymi naraziły one na szwank najbardziej wrażliwe dane medyczne milionów Polaków. W sprawie musiał interweniować CERT.

Groźna luka w oprogramowaniu dla klinik

Oprogramowanie drEryk, mMedica Asseco, Eurosoft Przychodnia oraz Simple Care jest wykorzystane w wielu centrach medycznych w całej Polsce. Szacuje się, że przetwarzane są za jego pomocą dane medyczne nawet 10 mln Polaków. Niestety wszystkie te programy zawierały do niedawna podatność klasy hardcoded credentials.

Oznacza to, że w kodzie źródłowym oprogramowania zapisywane były dane uwierzytelniające pozwalające na logowanie do systemów klinik. Relatywnie niewielkim nakładem środków można było nie tylko uzyskać dostęp do szczegółowej dokumentacji medycznej pacjentów, ale nawet uzyskać dostęp do systemu e-recept i wystawić sobie receptę nawet na preparaty objęte obostrzeniami.

MojeIKP zamiast europejskiego ubezpieczenia. Trzeba wiedzieć przed urlopem

Recykling haseł i dostęp do e-recept

Problemów z oprogramowaniem wykorzystywanym przez centra medyczne było wiele, a część z nich nie wynikała z błędów w projektowaniu zabezpieczeń, ale też ze złych praktyk administratorów i użytkowników, tj. personelu medycznego. Pierwszym grzechem był jednak ten producenta - dane uwierzytelniania przechowywane były w postaci przetworzonej przez przestarzałą funkcję skrótu, którą łatwo złamać.

Zobacz: Ważna funkcja mObywatel. Wielu Polaków o niej nie wie

Kolejny problem występuje przy instalacji programów - nie wymuszały, a jedynie sugerowały one wprowadzenie zamiennika dla domyślnych haseł, przy czym wiadomo, że część administratorów odradzała ich ustawianie. W rezultacie za sprawą stosowania recyklingu haseł raz złamany hash hasła dawał uprawnienia do dokumentacji i kont zarówno lekarzy, jak i farmaceutów, co umożliwiało wystawianie e-recept.

Oprogramowanie zostało załatane

Sprawa została zgłoszona CERT Polska, a ten skontaktował się z producentami oprogramowania, którzy je zaktualizowali i zaimplementowali współczesne modele ochrony dostępu, łącznie z uwierzytelnieniem wieloskładnikowym. Nie opublikowano żadnych informacji o wykorzystaniu podatności do kradzieży danych lub wystawiania fałszywych recept, co nie oznacza, że takie incydentu nie miały miejsca. 

Powiązane
haker
Quiz sprawdzi, czy jesteś bezpieczny w internecie. Jeśli nie zdobędziesz 7/10 pkt., możesz mieć kłopoty