Krytyczna luka w IKP otworzyła hakerom dostęp do Twoich danych o zdrowiu

Jak doszło do naruszenia?

Z komunikatu resortu zdrowia wynika, że luka w zabezpieczeniach IKP pozwalała na nieautoryzowany dostęp do elektronicznej dokumentacji medycznej (EDM) innych użytkowników poprzez ręczną modyfikację adresu URL w przeglądarce internetowej. Standardowo, pobranie dokumentacji medycznej z IKP wymaga weryfikacji uprawnień po stronie placówki medycznej w systemie P1. W tym przypadku wadliwe działanie systemu umożliwiało obejście tej weryfikacji.

Użytkownik, który zgłosił problem, zdołał w ten sposób uzyskać dostęp do dokumentacji medycznej czterech innych osób. Naruszone dane obejmowały szeroki zakres informacji, w tym:

• imiona i nazwiska,
• daty urodzenia,
• adresy zamieszkania lub pobytu,
• numery PESEL,
• serie i numery dowodów osobistych,
• dane dotyczące stanu zdrowia.

Zgłaszający nie ujawnił tożsamości osób, których dokumentację pozyskał.

Przyczyna luki i podjęte działania

Przeprowadzone testy wykazały, że podatność nie była globalna, lecz ograniczona do konkretnego repozytorium danych w jednym ze szpitali. Dalsza analiza ujawniła, że placówka ta nie zabezpieczyła odpowiednio swojego repozytorium pod kątem wymogu weryfikacji uprawnień użytkownika w systemie P1. Dostawca oprogramowania dla tego szpitala potwierdził błąd w dostarczanej usłudze, który uniemożliwiał szpitalowi prawidłową weryfikację użytkownika przed pobraniem danych. Dostawca zadeklarował naprawę błędu i 25 kwietnia 2025 roku poinformował o przygotowaniu stosownej poprawki dla systemów repozytoriów w podmiotach leczniczych.

Minister Zdrowia zgłosił incydent Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w dniu 29 kwietnia 2025 roku.

Potencjalne zagrożenia dla pacjentów

Ujawnienie tak wrażliwych danych niesie ze sobą poważne ryzyko. Ministerstwo Zdrowia ostrzega przed potencjalnymi konsekwencjami, takimi jak:

• wykorzystanie danych do wyłudzenia kredytów, pożyczek lub zaciągnięcia innych zobowiązań finansowych,
• próby uzyskania dostępu do świadczeń medycznych lub wglądu w dane o stanie zdrowia w innych placówkach,
• kradzież tożsamości i wykorzystanie danych do ukrycia tożsamości przez osoby trzecie (np. przy otrzymywaniu mandatu),
• wyłudzanie ubezpieczeń lub środków z kont bankowych (np. poprzez SMS-y podszywające się pod instytucje finansowe),
• zakładanie kont internetowych lub rejestrowanie kart SIM na dane poszkodowanych w celach przestępczych,
• umieszczenie danych w nielegalnych bazach danych.

Jak się chronić? Zalecenia dla użytkowników IKP

Ministerstwo Zdrowia, oprócz podjętych działań naprawczych, zaleca obywatelom podjęcie następujących kroków w celu minimalizacji ewentualnych negatywnych skutków:

• zastrzeżenie numeru PESEL, na przykład w aplikacji mObywatel,
• regularne sprawdzanie informacji w Biurze Informacji Kredytowej (BIK), biurach informacji gospodarczej oraz Krajowym Rejestrze Długów,
• ostrożność przy podawaniu danych, szczególnie przy udostępnianiu danych osobowych przez Internet czy telefon,
• ignorowanie podejrzanych wiadomości, zwłaszcza od nieznanych nadawców,
• stosowanie silnych i unikalnych haseł, niepowiązywanie haseł na przykład do bankowości elektronicznej z danymi osobowymi,
• kontakt z placówkami medycznymi i upewnienie się, że nikt nie składał dyspozycji dotyczących dokumentacji medycznej w imieniu osoby poszkodowanej,
• zgłaszanie podejrzeń dotyczących kradzieży tożsamości do organów ścigania.