Krytyczna luka w IKP otworzyła hakerom dostęp do Twoich danych o zdrowiu
Ministerstwo Zdrowia poinformowało o poważnym naruszeniu ochrony danych osobowych w systemie Internetowego Konta Pacjenta (IKP). Incydent, który miał miejsce w okresie od 19 do 25 kwietnia 2025 roku, dotyczył utraty poufności danych zgromadzonych w centralnym systemie P1, którego administratorem jest minister zdrowia. Problem został zgłoszony resortowi przez Centrum e-Zdrowia 28 kwietnia, po otrzymaniu informacji od jednego z użytkowników IKP.

Jak doszło do naruszenia?
Z komunikatu resortu zdrowia wynika, że luka w zabezpieczeniach IKP pozwalała na nieautoryzowany dostęp do elektronicznej dokumentacji medycznej (EDM) innych użytkowników poprzez ręczną modyfikację adresu URL w przeglądarce internetowej. Standardowo, pobranie dokumentacji medycznej z IKP wymaga weryfikacji uprawnień po stronie placówki medycznej w systemie P1. W tym przypadku wadliwe działanie systemu umożliwiało obejście tej weryfikacji.
Użytkownik, który zgłosił problem, zdołał w ten sposób uzyskać dostęp do dokumentacji medycznej czterech innych osób. Naruszone dane obejmowały szeroki zakres informacji, w tym:



- imiona i nazwiska,
- daty urodzenia,
- adresy zamieszkania lub pobytu,
- numery PESEL,
- serie i numery dowodów osobistych,
- dane dotyczące stanu zdrowia.
Zgłaszający nie ujawnił tożsamości osób, których dokumentację pozyskał.
Przyczyna luki i podjęte działania
Przeprowadzone testy wykazały, że podatność nie była globalna, lecz ograniczona do konkretnego repozytorium danych w jednym ze szpitali. Dalsza analiza ujawniła, że placówka ta nie zabezpieczyła odpowiednio swojego repozytorium pod kątem wymogu weryfikacji uprawnień użytkownika w systemie P1. Dostawca oprogramowania dla tego szpitala potwierdził błąd w dostarczanej usłudze, który uniemożliwiał szpitalowi prawidłową weryfikację użytkownika przed pobraniem danych. Dostawca zadeklarował naprawę błędu i 25 kwietnia 2025 roku poinformował o przygotowaniu stosownej poprawki dla systemów repozytoriów w podmiotach leczniczych.
Minister Zdrowia zgłosił incydent Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w dniu 29 kwietnia 2025 roku.
Potencjalne zagrożenia dla pacjentów
Ujawnienie tak wrażliwych danych niesie ze sobą poważne ryzyko. Ministerstwo Zdrowia ostrzega przed potencjalnymi konsekwencjami, takimi jak:
- wykorzystanie danych do wyłudzenia kredytów, pożyczek lub zaciągnięcia innych zobowiązań finansowych,
- próby uzyskania dostępu do świadczeń medycznych lub wglądu w dane o stanie zdrowia w innych placówkach,
- kradzież tożsamości i wykorzystanie danych do ukrycia tożsamości przez osoby trzecie (np. przy otrzymywaniu mandatu),
- wyłudzanie ubezpieczeń lub środków z kont bankowych (np. poprzez SMS-y podszywające się pod instytucje finansowe),
- zakładanie kont internetowych lub rejestrowanie kart SIM na dane poszkodowanych w celach przestępczych,
- umieszczenie danych w nielegalnych bazach danych.
Jak się chronić? Zalecenia dla użytkowników IKP
Ministerstwo Zdrowia, oprócz podjętych działań naprawczych, zaleca obywatelom podjęcie następujących kroków w celu minimalizacji ewentualnych negatywnych skutków:
- zastrzeżenie numeru PESEL, na przykład w aplikacji mObywatel,
- regularne sprawdzanie informacji w Biurze Informacji Kredytowej (BIK), biurach informacji gospodarczej oraz Krajowym Rejestrze Długów,
- ostrożność przy podawaniu danych, szczególnie przy udostępnianiu danych osobowych przez Internet czy telefon,
- ignorowanie podejrzanych wiadomości, zwłaszcza od nieznanych nadawców,
- stosowanie silnych i unikalnych haseł, niepowiązywanie haseł na przykład do bankowości elektronicznej z danymi osobowymi,
- kontakt z placówkami medycznymi i upewnienie się, że nikt nie składał dyspozycji dotyczących dokumentacji medycznej w imieniu osoby poszkodowanej,
- zgłaszanie podejrzeń dotyczących kradzieży tożsamości do organów ścigania.
Wszelkie pytania dotyczące zdarzenia można kierować do Inspektora Ochrony Danych w Ministerstwie Zdrowia, Marka Mączewskiego ([email protected]) lub do Centrum e-Zdrowia ([email protected]). Ministerstwo zapewnia, że dokłada wszelkich starań, aby zapewnić bezpieczeństwo danych osobowych.