Nagrania rozmów pacjentów usług telemedycznych były dostępne dla każdego w sieci
W dzisiejszych czasach możliwość zdalnej konsultacji z lekarzem to duża wygoda. Niestety jest to też nowe zagrożenie – kiedyś nie obawialiśmy się podsłuchu w gabinecie lekarskim, a dzisiaj nasze rozmowy leżą w plikach na jakimś serwerze. No właśnie.
Ledwo skończył się pierwszy tydzień nowego roku, a my już opisujemy drugi incydent bezpieczeństwa związany z wyciekiem danych medycznych. Najpierw były to dane recept wystawianych przez lekarzy Medicover, teraz jest dużo poważniej.
Skorzystał z usługi, znalazł cudze rozmowy
Firma Telemedico to jeden z wielu usługodawców, umożliwiających skorzystanie z lekarskiej porady telefonicznej. Wygodnie, niedrogo, bez wychodzenia z domu, przez stronę WWW – same zalety.
To najwyraźniej przekonało jednego z naszych Czytelników, który z takiej usługi porady telemedycznej skorzystał. Zauważył, że jego przeglądarka łączyła się trakcie konsultacji z serwerem voip.telemedi.co i sprawdził, co się na tym serwerze znajduje. To, co znalazł, nie było fajne.
Co prawda, strona główna nie zawierała żadnych informacji, ale wywołanie dowolnego błędnego adresu zwracało piękny interfejs diagnostyczny serwera aplikacji.
Analiza listy endpointów pozwoliła Czytelnikowi znaleźć taki, który udostępniał historię połączeń telefonicznych pod adresem:
https://voip.telemedi.co/callcenter/medihistorycalls
Podstawowe zapytanie zwracało ich 100 – zapewne dodatkowy parametr mógł pokazać dalszą historię. Wszystkie 100 wskazywało na lokalizację pliku z nagraniem w folderze z datą dzisiejszą. Oto przykład jednego z rekordów po jego anonimizacji:
W oryginale rekord zawierał numer telefonu pacjenta, UUID rozmowy oraz ścieżkę do pliku z nagraniem.
Niestety pobranie nagrania było trywialne – wystarczyło odwołać się do endpointu:
https://voip.telemedi.co/getCoversation/getRecord
gdzie otrzymywaliśmy instrukcję, w jaki sposób możemy pobrać plik (potrzebny był UUID nagrania).
Po podaniu prawidłowego UUID (uzyskanego we wcześniejszym zapytaniu) otrzymywaliśmy do pobrania plik z nagraniem rozmowy z pacjentem.
Zgłoszenie i reakcja
Informację od Czytelnika otrzymaliśmy dzisiaj o godzinie 8:52. O godzinie 10:10 wysłaliśmy informacje wraz z naszymi pytaniami do firmy Telemedico. O 10:21 otrzymaliśmy potwierdzenie otrzymania zgłoszenia od prezesa firmy. Niecałe pół godziny później linki, umożliwiające pobieranie plików, już nie działały. To imponujący czas reakcji – choć trzeba zauważyć, że jakikolwiek inny byłby godny pożałowania. Otrzymaliśmy także odpowiedzi na nasze pytania – zamieszczamy je poniżej.
Odpowiedź firmy
W dniu 8.01.2020 (piątek) o 10.10 otrzymaliśmy pierwsze zgłoszenie dotyczące błędu w jednym z podsystemów, odpowiedzialnym za usługę VoiP. Błąd naprawiliśmy niezwłocznie, o godzinie 10.46.
Podatność dotyczyła jednego z podsystemów VoIP, który wykorzystywaliśmy w przypadku części pacjentów z Polski. Możliwy był losowy dostęp do identyfikatora konsultacji, z możliwością poznania numeru telefonu oraz pobrania nagrania audio, jeśli takie istniało. Dostęp do innych informacji na temat pacjenta oraz konsultacji nie był możliwy. Incydent nie objął głównego systemu. Dane pacjentów i dokumentacja medyczna są bezpieczne. Podsystem, w którym wykryliśmy lukę został wyłączony, do momentu wykonania dodatkowych testów bezpieczeństwa.Regularnie przeprowadzamy audyty bezpieczeństwa z firmami zewnętrznymi. Ostatnie testy bezpieczeństwa wykonane 30.11.2020 nie wykazały podatności w tym zakresie. Niezwłocznie zleciliśmy wykonanie kolejnych testów bezpieczeństwa. Do czasu ich przeprowadzania, wspomniany podsystem zostaje wyłączony. Nie ma to wpływu na ciągłość obsługi klientów.
Przeprowadziliśmy analizę logów związanych z niestandardowym ruchem we wspomnianym podsystemie, skala incydentu może dotyczyć maksymalnie 29 konsultacji z 100 tysięcy realizowanych przez Telemedico miesięcznie. Kontaktujemy się z klientami B2B, których mogła dotyczyć podatność. Z każdym z pacjentów, którzy mogli zostać dotknięci incydentem, będziemy się kontaktować indywidualnie.
Podsumowanie
Niestety mamy do czynienia z bardzo poważnym wyciekiem, dotyczącym danych medycznych, zatem określanych przez RODO jako „szczególne”, czyli takie, które zasługują na szczególną ochronę. Choć nasz Czytelnik nie odnalazł innych danych osobowych niż numer telefonu, to jak sam podkreśla, nie szukał dalej, a numer komórki w dzisiejszych czasach w wielu przypadkach pozwala na określenie tożsamości posiadacza. Powiązanie tych informacji z poufną rozmową z lekarzem niestety tworzy spore ryzyko dla osób, których konwersacje mogły w ten sposób zostać ujawnione. Dobrze, że luka została szybko załatana, ale fakt, że taki trywialny błąd istniał na serwerze firmy świadczącej usługi medyczne, jest bardzo niepokojący.
Podobne wpisy
- Więcej informacji o wycieku danych Polaków – przyczyny, skutki, relacje firm i użytkowników
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
- Jak złamano hasła ofiar wycieku danych z KSSiP?
- Jak wszystkie polskie media podały dalej fake newsa o włamaniu hakerów do banku
Tragedia zresztą ck się dziwić jeśli do konta pacjenta może służyć pesel i hasło. To tez niezbyt fajny pomysł.
Co teraz zrobić????
Tanczyles juz makarene? Mi zawsze pomaga jak mi smutno i jest mi zal.
Możesz przechytrzyć chorobę i nie chorować. Ja, jak tylko pojawiają się pierwsze symptomy, szukam informacji jak niwelować rozwój choroby. Oczywiście nie w kolorowych magazynach dla pań domu, tylko w poważniejszych serwisach i książkach. Również możesz analizować choroby czesto występujące w rodzinie i przygotować się, że ciebie też mogą dotknąć. Istnieje też cos co nazywa się autopsychoterapia. Ogólnie mówiąc musisz przewidywać przyszłość. Poczytaj książkę Megatrendy Nashbita.
Czy tylko mnie oburza nagrywanie takich rozmów?
Tzw. teleporada zasadniczo stoi w sprzeczności z tajemnicą lekarską – połączenie GSM nie jest szyfrowane i treść rozmowy jest niejako „z natury” przechwytywana przez operatorów telekomunikacyjnych realizujących połączenie między lekarzem a pacjentem.
Operatorzy telefonii są ściśle regulowani, między innymi przez ustawę Prawo Telekomunikacyjne.
Istotnym elementem tych regulacji jest zakaz przechwytywania, utrwalania i zapoznawania się z treścią komunikatu. Zatem przynajmniej prawnie jest to jakoś zabezpieczone – tylko w pewnych przypadkach organy państwowe mogą założyć podsłuch, i to zazwyczaj wtedy, gdy sąd zarządzi kontrolę operacyjną.
Operatorzy skrzynek poczty elektronicznej, właściciele serwisów społecznościowych typu Facebook czy komunikatorów nie są tymi przepisami związani. Wielu z nich nie tylko ma dostęp do treści komunikatu/korespondencji, ale aktywnie je czyta (i przetwarza), agreguje, sprzedaje, buduje profile psychologiczne użytkowników (GMail na przykład, i to od wielu lat).
Dlatego prawdziwym łamaniem przysięgi lekarskiej jest wysyłanie *jakichkolwiek* informacji o pacjentach przez maila czy Facebooka – a lekarze to niestety robią masowo, w dodatku najczęściej bez wiedzy pacjenta, że tak się dzieje.
Oczywiście telefony też podsłuchać można – NSA i inne służby – dlatego dopóki nie doczekamy się porządnych systemów bezpiecznej wymiany danych medycznych, lekarze powinni rozmawiać o pacjentach wyłącznie przez Signal i inne otwartoźródłowe, zaudytowane komunikatory.