Wyciekły dane 50 tys. pacjentów

Wyciek danych wrażliwych m.in. wyniki badań!

Około 50 tysięcy rekordów z danymi osobowymi (m.in. imię, nazwisko, adres, PESEL) oraz medycznymi (grupa krwi, diagnostyka) - takie poufne informacje wyciekły z Samodzielnego Zakładu Opieki Medycznej w Kole.

W internecie dostępne były one dla wszystkich przez wiele dni. Nie wiadomo jak tam się znalazły, czy zostały wykradzione i dlaczego zostały opublikowane online. Eksperci sądzą, że to prawdopodobnie wynik zaniedbania i braku świadomości, któregoś z pracowników placówki medycznej.
 
 
wyciek danych wrażliwych

 

Serwis zaufana trzecia strona otrzymał od jednego z czytelników informacje, że serwer, na którym znajdują się poufne dane nie jest w żaden sposób zabezpieczony. Podał też adres IP tego serwera (185.44.172.162.) Okazało się, że są to dane Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole. Dostęp do danych nie wymagał żadnego logowania. Jeszcze kilka dni temu mógł je pobrać i wykorzystać każdy, kto trafił na adres serwera.

Co do zasady, udostępnienie takiego zbioru danych w internecie nie może pozostać niezauważone. Nawet jeśli teraz usunięto dane z serwera, lub odcięto go od sieci, dane prawdopodobnie zostały już skopiowane przez wiele osób.

Być może są już lub będą wykorzystane w działaniach przestępczych (np. phishingu lub wyłudzeniach finansowych). Zespół Cyberbezpieczeństwa Deloitte na bieżąco zbiera i analizuje informacje o zagrożeniach w sieci Internet. Z najnowszych informacji wynika, że pod wymienionym w adresem IP (serwer www), znajdowały się również strony do phishingu m.in. na użytkowników PayPal. Prawdopodobnie ktoś wykorzystywał (np. w sposób nieautoryzowany) tę infrastrukturę do atakowania innych podmiotów.

Oprócz danych pacjentów można było odnaleźć dane osób, które prawdopodobnie są pracownikami tej jednostki. W tych przypadkach upublicznione zostały także informacje o imionach rodziców, nazwisku panieńskim, numerze NIP, numerze i serii dowodu osobistego, nazwy szkół i rok ich ukończenia. W innym pliku znajdowały się także numery kont bankowych pracowników! Zaufana trzecia strona podaje, że dane te mogły w niektórych przypadkach pozwolić na skuteczne podszycie się pod ofiarę i wyłudzanie pożyczek.

Na serwerze znajdowały się zarówno archiwalne, jak i świeże dane. Niektóre foldery nosiły datę modyfikacji sprzed kilku tygodni.
Cytowany serwis podaje, że niektóre pliki wyglądały jak kopie skrzynek pocztowych pracowników administracyjnych szpitala. Znalazły się także ślady ataku ransomware z 2015 roku, a nawet pirackie oprogramowanie, narzędzia do kopania kryptowalut i piracka kopia albumu Paktofoniki.

Zaufana trzecia strona podaje, że to największy ujawniony incydent tego typu w polskiej służbie zdrowia.

 

wyciekły dane 50 tys pacjentów

 

Wymóg ochrony danych osobowych z nowych regulacji prawnych unii w tym zakresie (RODO/GDPR) wchodzi w życie 25 maja 2018 r. Naruszenie zasad bezpiecznego przetwarzania danych mogłoby skutkować wysoką karą finansową od GIODO (10 lub 20 milionów euro lub do 2% lub 4% wartości rocznego światowego obrotu przedsiębiorstwa), jak również stratami finansowymi wynikającymi z konieczności zarządzenia tym incydentem, oraz zawiadomienia pacjentów o wycieku.

 

Źródło: zaufanatrzeciastrona.pl, crn.pl, rp.pl, tech.wp.pl, polskieradio.pl, epoznan.pl

 

Chronimy dane Firm - KONTAKT:

Servus Comp Data Security , Mazowiecka 25/502  30-222 Kraków   tel.  +48 12 631 91 22   biuro@servus-comp.pl
 

PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.