Dane medyczne nawet 10 mln Polaków podane jak na tacy. Niepokojące doniesienia
Pentester i audytor cyberbezpieczeństwa Jakub Staśkiewicz poinformował na blogu o bardzo poważnych lukach w oprogramowaniu stosowanym w polskich klinikach. W połączeniu z licznymi uchybieniami administracyjnymi naraziły one na szwank najbardziej wrażliwe dane medyczne milionów Polaków. W sprawie musiał interweniować CERT.
Groźna luka w oprogramowaniu dla klinik
Oprogramowanie drEryk, mMedica Asseco, Eurosoft Przychodnia oraz Simple Care jest wykorzystane w wielu centrach medycznych w całej Polsce. Szacuje się, że przetwarzane są za jego pomocą dane medyczne nawet 10 mln Polaków. Niestety wszystkie te programy zawierały do niedawna podatność klasy hardcoded credentials.
Oznacza to, że w kodzie źródłowym oprogramowania zapisywane były dane uwierzytelniające pozwalające na logowanie do systemów klinik. Relatywnie niewielkim nakładem środków można było nie tylko uzyskać dostęp do szczegółowej dokumentacji medycznej pacjentów, ale nawet uzyskać dostęp do systemu e-recept i wystawić sobie receptę nawet na preparaty objęte obostrzeniami.
MojeIKP zamiast europejskiego ubezpieczenia. Trzeba wiedzieć przed urlopemRecykling haseł i dostęp do e-recept
Problemów z oprogramowaniem wykorzystywanym przez centra medyczne było wiele, a część z nich nie wynikała z błędów w projektowaniu zabezpieczeń, ale też ze złych praktyk administratorów i użytkowników, tj. personelu medycznego. Pierwszym grzechem był jednak ten producenta - dane uwierzytelniania przechowywane były w postaci przetworzonej przez przestarzałą funkcję skrótu, którą łatwo złamać.
Zobacz: Ważna funkcja mObywatel. Wielu Polaków o niej nie wie
Kolejny problem występuje przy instalacji programów - nie wymuszały, a jedynie sugerowały one wprowadzenie zamiennika dla domyślnych haseł, przy czym wiadomo, że część administratorów odradzała ich ustawianie. W rezultacie za sprawą stosowania recyklingu haseł raz złamany hash hasła dawał uprawnienia do dokumentacji i kont zarówno lekarzy, jak i farmaceutów, co umożliwiało wystawianie e-recept.
Oprogramowanie zostało załatane
Sprawa została zgłoszona CERT Polska, a ten skontaktował się z producentami oprogramowania, którzy je zaktualizowali i zaimplementowali współczesne modele ochrony dostępu, łącznie z uwierzytelnieniem wieloskładnikowym. Nie opublikowano żadnych informacji o wykorzystaniu podatności do kradzieży danych lub wystawiania fałszywych recept, co nie oznacza, że takie incydentu nie miały miejsca.