Wyciekły dane pacjentów wrocławskiego centrum medycznego. To skutek incydentu u dostawcy oprogramowania, który nie usunął kopii danych po zakończeniu umowy z placówką. Z najnowszych informacji wynika, że sprawa jest znacznie poważniejsza.
Prezes UODO podejmie działania (AKTUALIZACJA: 28 marca, godz. 16:38)
W odpowiedzi na nasze pytania rzecznik prasowy UODO Adam Sanocki przekazał, że „Prezes UODO podejmie działania w ramach zadań i uprawnień w związku z wyciekiem danych we wrocławskiej klinice DCG Centrum Medyczne”. Załączył również oświadczenie Urzędu, w którym czytamy, że sprawa incydentu jest dobrze znana Mirosławowi Wróblewskiemu.
Wyciek danych z 40 placówek (AKTUALIZACJA: 28 marca, godz. 9:21)
W najnowszym komunikacie DCG Centrum Medyczne wskazuje – powołując się na ustalenia specjalistów – że wyciek danych z Medily dotyczy 40 klinik medycznych, a dane pacjentów wrocławskiej placówki stanowią jedynie 29 proc. całości.
„Jest klinika, której wyciekło prawie 40% więcej danych (39% całości)” – podkreśla DCG.
Pacjenci, których dane wyciekły, stworzyli specjalną grupę na Facebooku, gdzie dzielą się informacjami i szukają wyjścia z sytuacji.
Incydent u dostawcy oprogramowania
We wtorek 19 marca br. w spółce Medily, będącej dostawcą oprogramowania Aurero, doszło do incydentu, w wyniku którego wyciekły dane pacjentów wrocławskiego DCG Centrum Medycznego.
W oficjalnym komunikacie do sprawy placówka poinformowała, że sprawa dotyczy „podstawowych danych osobistych”. Mowa o m.in. imionach, nazwiskach, adresach, PESEL-ach, adresach mailowych czy numerach telefonów.
Na podstawie analizy dokumentów od Medily stwierdzamy, że ok. 99,8% wycieku danych dotyczy podstawowych danych osobistych.
Wyciek danych pacjentów
Centrum o wszystkim dowiedziało się od CERT NASK. Specjaliści przekazali, że „na forum cyberprzestępczym dostępnym w sieci TOR opublikowano dane pochodzące z systemu Aurero” z lat 2019-2021. Link miał zostać usunięty w dniu 19 marca br. Jednak jak wskazuje Niebezpiecznik, dane wciąż można było pobrać.
„Zostaliśmy uczuleni przez prezesa Medily sp. z o.o., że dane wyciekły ze środowiska testowego, dlatego wybrane dane mogą nie być prawdziwe, a niektóre numery telefonów przypadkowe i niezgodne z pozostałą częścią danych” – wskazuje DCG Centrum Medyczne.
„Na skutek ataku hakerskiego”
W komunikacie przekazano, że wyciek dotyczy osób, które korzystały z usług placówki do 2019 r. oraz części pacjentów sprzed 2020 r. Informacje te zostały skradzione z serwerów Medily. Spółka miała ustalić listę osób poszkodowanych.
Uwaga! DCG Centrum Medyczne sp. z o.o. (DCG) informuje, iż doszło do naruszenia poufności Państwa danych osobowych poprzez ich bezpodstawne przechowywanie po rozwiązaniu umowy przez podmiot, któremu powierzyliśmy przetwarzanie Państwa danych (procesor), a następnie poprzez kradzież Państwa danych z systemów informatycznych procesora na skutek ataku hakerskiego oraz ujawnienia tych danych na forum cyberprzestępczym.
Te dane powinny być usunięte
Centrum podkreśla, że współpracę ze spółką zakończyło 31 stycznia 2021 r. Na dostawcy oprogramowania leżał obowiązek usunięcia kopii zapasowych danych niezwłocznie po zakończeniu umowy. Jak czytamy, tak się jednak nie stało.
Zgłoszenie przez Medily sp. z o.o. incydentu związanego z atakiem hakerskim stanowiło jednoczesnie dla Administratora źródło informacji o tym, że pomimo rozwiązania umowy o świadczenie usług spółka Medily była w posiadaniu danych powierzonych jej do przetwarzania wyłącznie na okres trwania umowy o świadczenie usług.
Reakcja na incydent
Po wystąpieniu incydentu spółka Medily miała zmienić hasła dostępowe, przeprowadzić audyty zabezpieczeń oraz zdecydować się na przebudowę środowisk testowych. Z kolei DCG Centrum Medyczne zażądało „usunięcia wszelkich danych osobowych powierzonych mu (Medily – red.) do przetwarzania w ramach rozwiązanej już umowy”.
Skierowaliśmy pytania do DCG Centrum Medycznego, dostawcy oprogramowania oraz innych instytucji mających znaczenie dla sprawy. Gdy otrzymamy odpowiedzi, opublikujemy je na naszych łamach.
Źródło: cyberdefence24.pl