None
BiznesINFO.pl Technologie Dane medyczne nawet 10 mln Polaków podane jak na tacy. Niepokojące doniesienia
Fot. Unsplash/National Cancer Institute

Dane medyczne nawet 10 mln Polaków podane jak na tacy. Niepokojące doniesienia

17 czerwca 2024
Autor tekstu: Maciej Olanicki

Pentester i audytor cyberbezpieczeństwa Jakub Staśkiewicz poinformował na blogu o bardzo poważnych lukach w oprogramowaniu stosowanym w polskich klinikach. W połączeniu z licznymi uchybieniami administracyjnymi naraziły one na szwank najbardziej wrażliwe dane medyczne milionów Polaków. W sprawie musiał interweniować CERT.

Groźna luka w oprogramowaniu dla klinik

Oprogramowanie drEryk, mMedica Asseco, Eurosoft Przychodnia oraz Simple Care jest wykorzystane w wielu centrach medycznych w całej Polsce. Szacuje się, że przetwarzane są za jego pomocą dane medyczne nawet 10 mln Polaków. Niestety wszystkie te programy zawierały do niedawna podatność klasy hardcoded credentials .

Oznacza to, że w kodzie źródłowym oprogramowania zapisywane były dane uwierzytelniające pozwalające na logowanie do systemów klinik. Relatywnie niewielkim nakładem środków można było nie tylko uzyskać dostęp do szczegółowej dokumentacji medycznej pacjentów , ale nawet uzyskać dostęp do systemu e-recept i wystawić sobie receptę nawet na preparaty objęte obostrzeniami.

MojeIKP zamiast europejskiego ubezpieczenia. Trzeba wiedzieć przed urlopem

Recykling haseł i dostęp do e-recept

Problemów z oprogramowaniem wykorzystywanym przez centra medyczne było wiele, a część z nich nie wynikała z błędów w projektowaniu zabezpieczeń, ale też ze złych praktyk administratorów i użytkowników, tj. personelu medycznego. Pierwszym grzechem był jednak ten producenta - dane uwierzytelniania przechowywane były w postaci przetworzonej przez przestarzałą funkcję skrótu , którą łatwo złamać.

Zobacz: Ważna funkcja mObywatel. Wielu Polaków o niej nie wie

Kolejny problem występuje przy instalacji programów - nie wymuszały, a jedynie sugerowały one wprowadzenie zamiennika dla domyślnych haseł, przy czym wiadomo, że część administratorów odradzała ich ustawianie. W rezultacie za sprawą stosowania recyklingu haseł raz złamany hash hasła dawał uprawnienia do dokumentacji i kont zarówno lekarzy, jak i farmaceutów, co umożliwiało wystawianie e-recept .

Oprogramowanie zostało załatane

Sprawa została zgłoszona CERT Polska, a ten skontaktował się z producentami oprogramowania, którzy je zaktualizowali i zaimplementowali współczesne modele ochrony dostępu, łącznie z uwierzytelnieniem wieloskładnikowym. Nie opublikowano żadnych informacji o wykorzystaniu podatności do kradzieży danych lub wystawiania fałszywych recept, co nie oznacza, że takie incydentu nie miały miejsca.

Wykupowanie recept za granicą. Jest na to prosty sposób
Ministerstwo zbiera wrażliwe dane Polek. Trzeba wiedzieć
Obserwuj nas w
autor
Maciej Olanicki

Dziennikarz biznesinfo.pl. W przeszłości redaktor prowadzący dobreprogramy.pl, miesięcznika „IT Professional”, współpracownik Wirtualnej Polski. Adres dla sygnalistów: olanicki@protonmail.com.
 
Chcesz się ze mną skontaktować? Napisz adresowaną do mnie wiadomość na mail: Dariusz.dziduch@iberion.pl

Więcej z kategorii Technologie
biznes finanse technologie praca handel Eko Energetyka polska i świat