Krytyczna luka w IKP otworzyła hakerom dostęp do Twoich danych o zdrowiu

Ministerstwo Zdrowia poinformowało o poważnym naruszeniu ochrony danych osobowych w systemie Internetowego Konta Pacjenta (IKP). Incydent, który miał miejsce w okresie od 19 do 25 kwietnia 2025 roku, dotyczył utraty poufności danych zgromadzonych w centralnym systemie P1, którego administratorem jest minister zdrowia. Problem został zgłoszony resortowi przez Centrum e-Zdrowia 28 kwietnia, po otrzymaniu informacji od jednego z użytkowników IKP.

Marian Szutiak (msnet)
2
Udostępnij na fb
Udostępnij na X
Krytyczna luka w IKP otworzyła hakerom dostęp do Twoich danych o zdrowiu

Jak doszło do naruszenia?

Z komunikatu resortu zdrowia wynika, że luka w zabezpieczeniach IKP pozwalała na nieautoryzowany dostęp do elektronicznej dokumentacji medycznej (EDM) innych użytkowników poprzez ręczną modyfikację adresu URL w przeglądarce internetowej. Standardowo, pobranie dokumentacji medycznej z IKP wymaga weryfikacji uprawnień po stronie placówki medycznej w systemie P1. W tym przypadku wadliwe działanie systemu umożliwiało obejście tej weryfikacji.

Dalsza część tekstu pod wideo

Użytkownik, który zgłosił problem, zdołał w ten sposób uzyskać dostęp do dokumentacji medycznej czterech innych osób. Naruszone dane obejmowały szeroki zakres informacji, w tym:

  • imiona i nazwiska,
  • daty urodzenia,
  • adresy zamieszkania lub pobytu,
  • numery PESEL,
  • serie i numery dowodów osobistych,
  • dane dotyczące stanu zdrowia.

Zgłaszający nie ujawnił tożsamości osób, których dokumentację pozyskał.

Przyczyna luki i podjęte działania

Przeprowadzone testy wykazały, że podatność nie była globalna, lecz ograniczona do konkretnego repozytorium danych w jednym ze szpitali. Dalsza analiza ujawniła, że placówka ta nie zabezpieczyła odpowiednio swojego repozytorium pod kątem wymogu weryfikacji uprawnień użytkownika w systemie P1. Dostawca oprogramowania dla tego szpitala potwierdził błąd w dostarczanej usłudze, który uniemożliwiał szpitalowi prawidłową weryfikację użytkownika przed pobraniem danych. Dostawca zadeklarował naprawę błędu i 25 kwietnia 2025 roku poinformował o przygotowaniu stosownej poprawki dla systemów repozytoriów w podmiotach leczniczych.

Minister Zdrowia zgłosił incydent Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w dniu 29 kwietnia 2025 roku.

Potencjalne zagrożenia dla pacjentów

Ujawnienie tak wrażliwych danych niesie ze sobą poważne ryzyko. Ministerstwo Zdrowia ostrzega przed potencjalnymi konsekwencjami, takimi jak:

  • wykorzystanie danych do wyłudzenia kredytów, pożyczek lub zaciągnięcia innych zobowiązań finansowych,
  • próby uzyskania dostępu do świadczeń medycznych lub wglądu w dane o stanie zdrowia w innych placówkach,
  • kradzież tożsamości i wykorzystanie danych do ukrycia tożsamości przez osoby trzecie (np. przy otrzymywaniu mandatu),
  • wyłudzanie ubezpieczeń lub środków z kont bankowych (np. poprzez SMS-y podszywające się pod instytucje finansowe),
  • zakładanie kont internetowych lub rejestrowanie kart SIM na dane poszkodowanych w celach przestępczych,
  • umieszczenie danych w nielegalnych bazach danych.

Jak się chronić? Zalecenia dla użytkowników IKP

Ministerstwo Zdrowia, oprócz podjętych działań naprawczych, zaleca obywatelom podjęcie następujących kroków w celu minimalizacji ewentualnych negatywnych skutków:

  • zastrzeżenie numeru PESEL, na przykład w aplikacji mObywatel,
  • regularne sprawdzanie informacji w Biurze Informacji Kredytowej (BIK), biurach informacji gospodarczej oraz Krajowym Rejestrze Długów,
  • ostrożność przy podawaniu danych, szczególnie przy udostępnianiu danych osobowych przez Internet czy telefon,
  • ignorowanie podejrzanych wiadomości, zwłaszcza od nieznanych nadawców,
  • stosowanie silnych i unikalnych haseł, niepowiązywanie haseł na przykład do bankowości elektronicznej z danymi osobowymi,
  • kontakt z placówkami medycznymi i upewnienie się, że nikt nie składał dyspozycji dotyczących dokumentacji medycznej w imieniu osoby poszkodowanej,
  • zgłaszanie podejrzeń dotyczących kradzieży tożsamości do organów ścigania.

Wszelkie pytania dotyczące zdarzenia można kierować do Inspektora Ochrony Danych w Ministerstwie Zdrowia, Marka Mączewskiego ([email protected]) lub do Centrum e-Zdrowia ([email protected]). Ministerstwo zapewnia, że dokłada wszelkich starań, aby zapewnić bezpieczeństwo danych osobowych.