Ataki hackerskie

Niepokojący komunikat Ministerstwa Zdrowia. Wyciekły dane pacjentów?

Tomasz Szwast
Niepokojący komunikat Ministerstwa Zdrowia. Wyciekły dane pacjentów?
Reklama

Na stronie internetowej Ministerstwa Zdrowia pojawił się groźny komunikat, w którym informowani jesteśmy o możliwym wycieku danych. Co konkretnie się stało i co powinniśmy zrobić w tej sytuacji? Już wyjaśniamy

IKP miało groźną podatność

Zacznijmy od tego, co tak właściwie się wydarzyło. Komunikat na stronie Ministerstwa Zdrowia opisuje incydent bezpieczeństwa w następujący sposób:

To cię zainteresuje Ostrzeżenie przed naciągaczami, dostaliście taką wiadomość?Atak na pieniądze Polaków. Zagrożeni klienci PKO BP
Reklama

W dniu 28 kwietnia 2025 r. Centrum e-Zdrowia występujące w roli podmiotu przetwarzającego w systemie P1 przekazało do Ministerstwa Zdrowia informację o zgłoszonej podatności w IKP, którą otrzymało od jednego z użytkowników. Z przekazanych informacji wynikało, że w przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników. Zatem z poziomu aplikacji IKP możliwa była ręczna edycja adresu URL w przeglądarce, dokonanie zmiany fragmentu adresu i wykonanie operacji pobrania dokumentu EDM.

Co to oznacza w praktyce? Wystarczyło odpowiednio podmienić dane w adresie strony internetowej, by bez jakiejkolwiek walidacji uzyskać dostęp do danych dowolnego pacjenta. Zagrożone były właściwie wszystkie dane, jakie przechowywane są w systemie IKP. Wśród nich numer PESEL, historia choroby, imię, nazwisko i adres zamieszkania. Ministerstwo nie podaje informacji o tym, czy komukolwiek udało się skorzystać z opisywanej podatności. Wiemy jedynie, że została wyeliminowana w dniu 25 kwietnia 2024 roku.

Czy nasze dane są bezpieczne? Co teraz zrobić?

Incydent bezpieczeństwa, zgodnie z procedurami, został zgłoszony Prezesowi Urzędu Ochrony Danych Osobowych. Oznacza to, że odpowiedni organ został poinformowany o jego wystąpieniu. Wiadomo również, że podatność została usunięta. Czy my, jako pacjenci, możemy coś zrobić, by nasze dane były bezpieczne?

Czytaj dalej poniżej

Jak radzą analitycy z firmy CyberRescue, zawsze warto pamiętać o tym, by zastrzec numer PESEL w aplikacji mObywatel. Dzięki temu nawet, gdy ktoś wejdzie w posiadanie naszego PESELu, nie będzie mógł z niego skorzystać w banku, u operatora telefonicznego itd.

 

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Reklama
© Antyweb Sp. z o.o.