Prowadzisz biznes w internecie? Kiedyś i Ciebie spotka wyciek danych. Błąd pracownika, awaria, atak hakerów. Źle przeprowadzona obsługa incydentu może się okazać fatalna w skutkach, zarówno od strony prawnejjak i finansowej. Zobacz nasze video-szkolenie o tym, jak poprawnie przygotować się i obsłużyć incydenty bezpieczeństwa takie jak wycieki, szantaże i ataki.Lekarzonline.eu upublicznił dane medyczne pacjentów
Nasza Czytelniczka Katarzyna, która zawodowo zajmuje się OSINT-em, trafiła w czasie szperania po sieci na dokumenty opublikowane w serwisie Lekarzonline.eu. W jednym z publicznie dostępnych katalogów znajdowało się 65 plików, a wśród nich zaświadczenia lekarskie i recepty (aktualne).
Niestety zarówno zaświadczenia jak i recepty zawierały masę wrażliwych informacji, m.in.
informację o lekach, które z kolei mogą wskazywać na stan zdrowia.
Dostępny był także inny katalog z plikami z ubiegłego roku, a w nim dane na temat wizyt lekarskich. W przypadku tych dokumentów oprócz nazwiska, PESEL-u czy danych kontaktowych (e-mail, telefon) w dokumencie znajdowały się wyniki wywiadu lub badania…
…a także dokumenty z innych placówek medycznych, co sugeruje, że były to pliki udostępniane przez pacjentów serwisowi.
Nauczka dla każdego — jeśli udostępniasz komuś (nawet lekarzowi) swoje wyniki, ukryj na nich dane osobowe. Lekarz będzie wiedział, że dotyczą Ciebie, ale jeśli nie zadba o ochronę tych dokumentów i one wyciekną, to inni będą mieli trudniej, aby powiązać je z Tobą.
Posprzątali, ale nie do końca…
Serwis Lekarzonline.eu jest prowadzony przez praktykę lekarską pana Sebastiana Krześniaka. Wyciek zgłosiliśmy w piątek 22 stycznia korzystając z dostępnego adresu kontaktowego, formularza kontaktowego, a także jednego adresu mailowego dostępnego w pewnym miejscu, do którego mamy dostęp. Zanim zdążyliśmy znaleźć kontakt telefoniczny, pliki z danymi osobowymi zostały usunięte lub dostęp do nich został zablokowany. Przed weekendem (23-24 stycznia) serwis wyglądał na wyłączony w celu dokonania napraw.
Obecnie serwis Lekarzonline.eu działa. Prowadzący go Sebastian Krześniak jeszcze w piątek udzielił nam poniższego komentarza.
Dziękujemy za przekazanie informacji o istnieniu “dziury” w naszym serwisie. Natychmiast po uzyskaniu powyższej informacji cały serwer został wyłączony a dział techniczny przystąpił do sprawdzenia i usunięcia zaistniałej chwilowej awarii. Z informacji jakie uzyskałem z działu IT, potencjalny dostęp możliwy był do danych osobowych mniej niż 35 osób, spośród wszystkich kilku tysięcy zarejestrowanych w serwisie. Tak więc, potencjalny dostęp do danych ww. osób był niewielki. Jednakże natychmiastowe działanie po otrzymaniu zgłoszenia spowodowało weryfikację i naprawę nieprawidłowości w systemie.
W trakcie analizy, zaistniałej nieprawidłowości zespół IT nie uzyskał danych, że osoby postronne weszły w posiadanie wyżej wymienionych danych osobowych. Jednakże zdajemy sobie sprawę z powagi sytuacji, iż nawet potencjalna możliwość uzyskania danych osobowych wymaga natychmiastowej interwencji co zostało już wykonane. System został zatem sprawdzony pod kątem bezpieczeństwa, wskazana usterka została wyeliminowana. Dołożymy wszelakich starań, aby w przyszłości podobna sytuacja nie miała już miejsca.
Oczywiście jako osoba prowadząca działalność gospodarczą i praktykę lekarską uważam za swój obowiązek powiadomić użytkowników, których dane potencjalnie mogły być dostępne a także dokonam zgłoszenia incydentu w zakresie danych osobowych.
W oświadczeniu zastanawia wzmianka o “osobach postronnych“, które rzekomo nie weszły w posiadanie danych. Cóż… my byliśmy osobami postronnymi, podobnie jak Katarzyna, która zgłosiła nam problem. Wiele wskazuje na to, że inne osoby także miały dostęp do tych danych. Warto tu również wspomnieć, że “zespół IT” nie wymusił wyczyszczenia cache w Google, bo jeszcze do piątku, 25 stycznia dokumenty wciąż figurowały w wynikach wyszukiwarki. To powód, dla którego wstrzymywaliśmy się z publikacją przez ponad tydzień.
Zwróciliśmy na to uwagę w kolejnej wiadomości i dopiero po naszym monicie “zespół IT” wyczyścił cache.
Na wyciek danych warto się przygotować
To jak obsłużyć incydent warto przećwiczyć. Mniejszy albo większy wyciek danych, czy to z powodu złej konfiguracji serwera, błędu pracownika lub dostawcy usług, czy w wyniku ataku prędzej czy później zdarzy się każdemu. Warto więc opracować krok-po-kroku KTO i CO wtedy powinien zrobić — inaczej “w emocjach” można zapomnieć o wyczyszczeniu cache Google. A nawet jak się pamięta o wyczyszczeniu cache w Google, to można zapomnieć o cache innych wyszukiwarek…
Wybór WordPressa na serwis do przetwarzania danych medycznych nie jest zły. Pod warunkiem, że przed startem (i po każdej aktualizacji, odtworzeniu danych z kopii zapasowej, etc.) sprawdzi się go pod kątem bezpieczeństwa. Jest do tego sporo darmowych narzędzi, które wychwyciłyby błąd, jaki w tym przypadku odpowiadał za ujawnienie danych medycznych.
