Luki w oprogramowaniu gabinetów lekarskich, stomatologicznych i przychodni dawały nieuprawnionym osobom dostęp do danych milionów pacjentów.
Doniesienie anonimowego sygnalisty prawdopodobnie uratowało polski system zdrowia. Okazało się, że oprogramowanie używane przez gabinety lekarskie, stomatologiczne oraz przychodnie i apteki zawierało luki bezpieczeństwa, dzięki którym niepowołane osoby mogły mieć dostęp do danych milionów Polaków.
Winne było oprogramowanie gabinetowe, które wykorzystywane jest do obsługi wizyt pacjentów. Z jego pomocą cyberprzestępcy mogli wydobyć dane milionów pacjentów. Dotyczy to zarówno danych osobowych oraz kontaktowych, jak i dokumentacji medycznej. Co więcej, luka dawała dostęp do systemu e-WUŚ, za pomocą którego nieuprawnione osoby mogły wystawiać zwolnienia lekarskie, skierowania oraz wystawiać refundowane recepty.
O całej sprawie doniósł Jakub Staśkiewicz, etyczny haker i autor bloga OpenSecurity.pl. Na jego e-mailową skrzynkę trafiła anonimowa wiadomość, w której ktoś opisywał podatność oprogramowania gabinetowego. Blogerowi początkowo informacje wydawały się mocno przesadzone i wręcz sensacyjne. Szybko o nich zapomniał, ale autor po jakimś czasie się przypomniał i wtedy Staśkiewicz postanowił bliżej przyjrzeć się sprawie i potwierdził problem z bezpieczeństwem danych.
Problem w dużym skrócie sprowadzał się do tego, iż bazy danych tych aplikacji dostępne są w Internecie, a dostęp do nich odbywa się zawsze przy użyciu tych samych (ale różnych dla każdego producenta) zaszytych w kodzie danych uwierzytelniających. Podatność ta określana jest mianem 'hard-coded credentials’ i w macierzy MITRE przypisano jej identyfikator CWE-798.
- pisze na swoim blogu Jakub Staśkiewicz.
Podatne na atak były między innymi aplikacje drEtyk, mMedica Asseco (luka podobno została wykryta wcześniej i załatana), Eurosoft Przychodnia oraz Simple Care, które wykorzystywane są przez tysiące placówek medycznych w całej Polsce. Sprawa została zgłoszona do CERT Polska, który już przypisał im identyfikatory CVE: CVE-2024-1228 (Eurosoft Przychodnia), CVE-2024-3699 (drEryk Gabinet), a także CVE-2024-3700 (SimpleCare).
Wszystkie luki zostały już załatane, jednak nie wiadomo, czy dane pacjentów nie wyciekły wcześniej. Jeśli tak, to może to być jeden z największych wycieków w historii.
Zobacz: Koniec dzikiej jazdy. Nowe przepisy od 17 czerwca
Zobacz: Modny gadżet uratował życie 44-latkowi. Ma go połowa Polaków
Źródło zdjęć: Shutterstock
Źródło tekstu: OpenSecurity.pl
