Wyciek danych z Lekarzonline.eu. PESEL-e i inne dane pacjentów były dostępne dla każdego
Złe wieści dla użytkowników serwisu Lekarzonline.eu. Ich dane osobowe, w tym nazwiska, PESEL-e, adresy oraz recepty i zaświadczenia lekarskie były dostępne dla każdego w wyszukiwarce Google. To szereg wrażliwych danych, które mogły wpaść w niepowołane ręce w wyniku luki w zabezpieczeniach.
O problemie poinformował Niebezpiecznik, powołując się na odkrycie swojej czytelniczki zawodowo związanej z bezpieczeństwem. Udało się jej dotrzeć do katalogów na serwerze serwisu Lekarzonline.eu, gdzie znajdowały się niezabezpieczone dokumenty wymieniane między pacjentami a lekarzami. Wśród nich ankiety, recepty, zaświadczenia i inne dokumenty z kompletem danych osobowych pacjentów.
W tym momencie problem jest już rozwiązany, ale informacja o potencjalnym wykorzystaniu danych przez osoby trzecie nie do końca jest jasna. Niebezpiecznik uzyskał oświadczenie właściciela serwisu, który zobowiązał się podjąć odpowiednie kroki w sprawie, jednak informuje jednocześnie, że nie odnotował dostępu do niezabezpieczonych danych przez osoby postronne, co nie jest zgodne z prawdą, skoro wcześniej dostęp do nich uzyskała czytelniczka, jak i sami redaktorzy serwisu.
Właściciel dodaje natomiast, że bez zabezpieczeń dostępne były dane tylko niewielkiej części użytkowników serwisu. "Z informacji jakie uzyskałem z działu IT, potencjalny dostęp możliwy był do danych osobowych mniej niż 35 osób, spośród wszystkich kilku tysięcy zarejestrowanych w serwisie" – tłumaczy w oświadczeniu dla Niebezpiecznika właściciel serwisu, Sebastian Krześniak. "Tak więc, potencjalny dostęp do danych ww. osób był niewielki (...) W trakcie analizy zaistniałej nieprawidłowości, zespół IT nie uzyskał danych, że osoby postronne weszły w posiadanie wyżej wymienionych danych osobowych. Jednakże zdajemy sobie sprawę z powagi sytuacji, iż nawet potencjalna możliwość uzyskania danych osobowych wymaga natychmiastowej interwencji co zostało już wykonane" – dodaje.
Warto także odnotować, że sama interwencja zespołu IT serwisu Lekarzonline.eu na informację o luce również nie była doskonała. Okazuje się, że nie od razu wymuszono czyszczenie pamięci podręcznej w Google, przez co dane były jeszcze przez pewien czas potencjalnie dostępne dla innych, mimo ich usunięcia z serwera. Co istotne – w tym momencie problem już nie występuje.