Luxmed dał plamę. Dane setek Polaków zagrożone
Lubelskie Centrum Medyczne Luxmed niemal rok temu poinformowało o luce w zabezpieczeniach, która naraziła klientów na wyciek ich danych. Teraz otrzymaliśmy dodatkowe informacje o tym incydencie, między innymi opis możliwych konsekwencji wykorzystania danych osobowych pacjentów oraz zastosowanych lub proponowanych środków zaradczych.
W dnu 8 listopada 2011 roku Centrum Medyczne Luxmed z Lublina wykryło w swojej strukturze informatycznej usterkę, która pozwalała na otwarty dostęp do danych klientów spółki. Chodziło między innymi o imię, nazwisko, PESEL, adres e-mail i zaszyfrowane hasło do e-rejestracji. Otwarty dostęp dotyczył również danych osób korzystających z aplikacji mobilnej Luxmedu. Lubelska spółka nie stwierdziła jednak wycieku samych danych, a jedynie błąd, który do takiego wycieku mógł doprowadzić.
Luxmed został zobowiązany przez Prezesa Urzędu Ochrony Danych do ponownego wysłania zawiadomienia o incydencie bezpieczeństwa sprzed niemal roku, uzupełnionego o dodatkowe informacje. Zamieszczamy je poniżej.
Wyciek danych – możliwe konsekwencje
Następstwem wykorzystania znalezionej przez Centrum Medyczne Luxmed z Lublina luki w zabezpieczeniach oraz dostępu do danych klientów mogą być następujące konsekwencje:
- osoby trzecie mogą podjąć próbę uzyskania na szkodę osoby, której dane wyciekły, pożyczek w instytucjach pozabankowych,
- osoby trzecie mogą podjąć próbę uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej, które przysługują osobie, której dane wyciekły,
- osoby trzecie mogą podjąć próbę korzystania z praw obywatelskich osoby, której dane wyciekły, na przykład poprzez próbę oddania głosu w głosowaniu nad środkami budżetu obywatelskiego,
- osoby trzecie mogą próbować wykorzystać wyciekłe dane do próby wyłudzenia ubezpieczenia,
- osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby, której dane wyciekły, umów cywilnoprawnych na przykład najmu nieruchomości,
- osoby trzecie mogą próbować wykorzystać nieswoje dane osobowe do ukrycia swojej tożsamości.
Podjęte środki zaradcze
W związku z wykrytą przez spółkę Luxmed luką w zabezpieczeniach, podjęte zostały następujące działania:
- natychmiastowe zablokowanie dostępu do tej bazy danych, naprawienie usterki i ponowne uruchomienie usługi,
- mimo, że hasła były w postaci zaszyfrowanej, ale z uwagi na charakter danych do których potencjalnie umożliwiałyby dostęp, z daleko posuniętej ostrożności zablokowano dostęp do kont e-rezerwacji i wymuszono zmianę hasła,
- dostęp do pełnych danych konta został ukryty, do czasu autoryzacji tożsamości użytkownika przez pracownika lubelskiego Luxmedu,
- wprowadzono politykę bezpieczeństwa blokującą wszystkie adresy serwerów na poziomie serwera aplikacji i udostępniono wskazane adresy po ich uprzedniej weryfikacji,
- wprowadzono politykę weryfikacji pod kątem widoczności i potencjalnych podatności wszystkich usług/portów udostępnianych na zewnątrz sieci (do Internetu), zarówno w obszarze rozwiązań wewnętrznych, jak i aplikacji firm trzecich,
- naruszenie danych zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.
Środki minimalizujące negatywne skutki naruszenia
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia, lubelski Luxmed zaleca następujące działania:
- jeżeli to samo hasło jest używane do skrzynki pocztowej lub w innych serwisach, to ze względów bezpieczeństwa również należy je zmienić,
- skorzystanie z możliwości założenia konta w systemie informacji kredytowej celem monitorowania prób uzyskania kredytu,
- zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem telefonu czy Internetu,
Centrum Medyczne Luxmed z Lublina poinformowało również, że w przypadku pytań lub wątpliwości można się skontaktować Inspektorem Danych Osobowych Luxmedu, Justyną Tomaszewską, pod adresem e-mail: [email protected].
