Powrót na stronę główną

Luki bezpieczeństwa w aplikacjach stosowanych przez przychodnie. Narażone były dane milionów Polaków

Aplikacje wykorzystywane przez tysiące aptek, przychodni i gabinetów lekarskich zawierały lukę bezpieczeństwa, dzięki której cyberprzestępcy mogliby uzyskać dostęp do danych pacjentów - ujawnił Jakub Staśkiewicz. Autor bloga OpenSecurity.pl ocenił, że gdyby problem nie został zażegnany, dziś moglibyśmy czytać "o danych wrażliwych milionów Polaków krążących po darknecie".
Cyberbezpieczeństwo (zdjęcie ilustracyjne)
Fot. Adam Stępień / Agencja Wyborcza.pl

Sprawę ujawnił Jakub Staśkiewicz, autor bloga OpenSecurity.pl. Do jej nagłośnienia przyczynił się również anonimowy czytelnik, który poinformował o lukach bezpieczeństwa w oprogramowaniu gabinetowym. Staśkiewicz postanowił przyjrzeć się problemowi i potwierdził, że występuje on w aplikacjach stosowanych przez apteki, gabinety lekarskie i przychodnie - łącznie kilkanaście tysięcy podmiotów medycznych. Według anonimowego sygnalisty, który zwrócił uwagę na sprawę, nieuprawnione osoby mogłyby dzięki temu uzyskać dostęp do danych nawet 10 milionów polskich pacjentów.

Zobacz wideo Miron Mironiuk: Mamy to, co najważniejsze, mamy najlepszych na świecie programistów

Luka w aplikacjach stosowanych przez gabinety lekarskie. Narażone były dane milionów pacjentów 

Aplikacje, w których wykryto problem, wykorzystywane są do obsługi wizyt pacjentów. Narażone na kradzież były między innymi dane osobowe i kontaktowe, a także dokumentacja medyczna. Co więcej, luka w bezpieczeństwie mogłaby pozwolić cyberprzestępcom na uzyskanie dostępu do systemu e-WUŚ. W ten sposób nieuprawnione osoby mogłyby między innymi wystawiać zwolnienia lekarskie, skierowania na badania lub refundowane recepty.

"Problem w dużym skrócie sprowadzał się do tego, iż bazy danych tych aplikacji dostępne są w Internecie, a dostęp do nich odbywa się zawsze przy użyciu tych samych (ale różnych dla każdego producenta) zaszytych w kodzie danych uwierzytelniających. Podatność ta określana jest mianem 'hard-coded credentials’ i w macierzy MITRE przypisano jej identyfikator CWE-798" - tłumaczy Staśkiewicz. Nieuprawnione osoby mogły uzyskać dostęp do danych, korzystając z domyślnych haseł. W niektórych przypadkach użytkownicy poznają je na etapie instalacji aplikacji. W innych dostępne były w pliku instalatora.

"Groziło nam trzęsienie ziemi"

Staśkiewicz ustalił, że podane na ataki były aplikacje drEryk, mMedica Asseco, EuroSoft Przychodnia oraz SimpleCare. Sprawa została zgłoszona do CERT Polska - zespołu reagującego na naruszenia bezpieczeństwa w sieci. Problemy zostały poprawione przed publikacją artykułu na OpenSecurity.pl. Staśkiewicz ocenia, że ujawnienie sprawy przez zaangażowanego czytelnika "uchroniło nas przed trzęsieniem ziemi". "Dziś pewnie czytalibyśmy nie o załatanych podatnościach a o danych wrażliwych milionów Polaków krążących po darknecie" - dodaje.

Dziękujemy za przeczytanie artykułu!

Więcej o:
Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.
Wybrane treści z serwisu Sport.pl są dostępne po wykupieniu płatnej subskrypcji