Błędy w systemie Multidiagnostica. Pozwalały odczytać cudzy PESEL

Klienci firmy Multidiagnostica oraz innych placówek korzystających z systemu opartego o domenę lab-online.pl powinni wiedzieć, że ich dane mogły trafić w niepowołane ręce. W systemie dla pacjentów wykryto wiele błędów, które pozwalały m.in. odczytać cudze nazwisko, PESEL i obejrzeć zdjęcia RTG.

Dowód osobisty
Dowód osobisty
Źródło zdjęć: © dobreprogramy | Oskar Ziomek
Oskar Ziomek

O potencjalnym wycieku informuje Zaufana Trzecia Strona, bazując na zgłoszeniu od czytelnika, który zalogował się do systemu, by obejrzeć swoje zdjęcie RTG. Konieczne jest do tego podanie PESEL-u oraz hasła lub PIN-u i na tym etapie kontrowersji nie ma. Okazuje się jednak, że twórcy oprogramowania popełnili wiele "szkolnych" błędów, w wyniku których bez większej gimnastyki można spreparować adres URL w przeglądarce, by trafić na informacje o innym pacjencie.

W ten sposób udało odczytać między innymi imiona, nazwiska, PESEL-e oraz informacje o przypisanych lekarzach obcych pacjentów, w tym także dotrzeć do ich zdjęć RTG. Problem udało się zauważyć najprawdopodobniej tylko dzięki temu, że z aplikacji musiał skorzystać dociekliwy pacjent-programista bez złych zamiarów. Jak podaje Zaufana Trzecia Strona, błędy zabezpieczeń zostały już zgłoszone firmie Multidiagnostica, a ta zareagowała najlepiej jak tylko mogła - chwilę później system już nie działał, a serwis dostał potwierdzenie o przyjęciu zgłoszenia i zawiadomieniu UODO.

Przykładowe dane obcego pacjenta
Przykładowe dane obcego pacjenta© Zaufana Trzecia Strona

Nie zmienia to jednak faktu, że wcześniej problem występował, a nazwiska, PESEL-e i inne dane pacjentów mogły trafić w niepowołane ręce. Zaufana Trzecia Strona radzi pacjentom sprawdzić, czy nie korzystali z usług firmy Multidiagnostica na przykład poprzez przeszukanie historii w przeglądarce.

Dalsza część artykułu pod materiałem wideo

W niedalekiej przyszłości w podobnych sytuacjach użytkowników powinna chronić usługa zastrzegania numeru PESEL. Samą procedurę można przejść już teraz (od niedawna również z poziomu mobilnej wersji aplikacji mObywatel), ale weryfikacja stanu PESEL-u będzie wymagana dopiero za kilka miesięcy. Do tego czasu zastrzeżenie PESEL-u to wyłącznie działanie na wyrost, choć pozwoli nie przeoczyć terminu, kiedy usługa zacznie już w pełni działać tak, jak przewidzieli to jej twórcy.

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (7)