Wyciek danych wrażliwych 50 tysięcy pacjentów polskiego szpitala

dodał 12 czerwca 2017 o 06:31 w kategorii Prywatność, Wpadki  z tagami:
Wyciek danych wrażliwych 50 tysięcy pacjentów polskiego szpitala

Jeszcze kilka dni temu w sieci można było znaleźć dane osobowe oraz medyczne 50 tysięcy pacjentów Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole. Pobrać je i wykorzystać mógł każdy internauta który trafił na adres serwera.

Wśród udostępnionych danych pacjentów znajdowały się między innymi takie informacje jak imię, nazwisko, PESEL, adres zamieszkania, grupa krwi czy też wyniki niektórych badań a w przypadku pracowników także dane dokumentów tożsamości czy kont bankowych. Dostępne były zarówno dane archiwalne jak i całkiem świeże. Według naszej wiedzy to największy ujawniony do tej pory incydent tego typu w polskiej służbie zdrowia.

Serwer dostępny dla wszystkich

Kilka dni temu otrzymaliśmy wiadomość od jednego z Czytelników. Prosił on nas o interwencję, by serwer, na którym znajdują się poufne dane, został zabezpieczony. Podał nam adres IP 185.44.172.162. Kiedy tam zajrzeliśmy, przestraszyliśmy się. Ktoś uznał, że udostępnienie w internecie serwera plików dużego zakładu opieki zdrowotnej jest dobrym pomysłem. Najpierw zauważyliśmy, że dostęp do danych nie wymaga żadnego logowania.

Już rzut oka do pierwszego folderu pokazał, że sytuacja nie wyglądała dobrze. Nie były to na pewno wyłącznie dane archiwalne, ponieważ niektóre foldery nosiły daty modyfikacji sprzed paru tygodni.

Kiedy jednak zajrzeliśmy głębiej, zrobiło się naprawdę nieciekawie.

W folderze Dysk wymiany\dane serum NFZ\150002160\ znaleźć można było plik, którego nazwa i rozmiar wieściły naprawdę sporych rozmiarów katastrofę. Niestety rzut oka do samego pliku tylko potwierdził nasze obawy.

Dane osobowe, medyczne i finansowe

W pliku 150002160__PACJENCI.CSV znajdowały się dane osobowe i medyczne ponad 50 tysięcy pacjentów SP ZOZ w Kole, zarejestrowanych w latach 2003 – 2007. Oprócz różnych numerów porządkowych plik zawierał dane takie jak:

  • imię i nazwisko,
  • pełny adres zamieszkania,
  • numer PESEL,
  • numer ubezpieczenia,
  • informację o grupie krwi.

Niestety na dysku znajdowały się także pliki zawierające bardziej wrażliwe dane.

Znaleźliśmy na przykład wyniki badań dzieci pod kątem chorób zakaźnych z lat 2014 – 2017:

W jednym z dostępnych plików znajdowały się także dane ponad 600 osób, prawdopodobnie pracowników SP ZOZ, takie jak:

  • imię i nazwisko,
  • imiona rodziców,
  • nazwisko panieńskie,
  • data i miejsce urodzenia,
  • numer NIP,
  • numer i seria dowodu osobistego oraz organ wydający dokument,
  • numer PESEL,
  • nazwa szkoły i rok ukończenia edukacji.

W innym pliku znajdowały się z kolei numery rachunków bankowych poszczególnych pracowników. Obawiamy się, że połączenie tych informacji może pozwolić oszustom na skuteczne podszywanie się pod osoby, których dane zostały ujawnione oraz np. wyłudzanie pożyczek.

Nie tylko dane osobowe

Oprócz zwykłych plików Excela na dyskach było także mnóstwo różnego rodzaju zestawień, baz danych oraz kopii szpitalnych systemów.

W dokumentach panował spory bałagan – były tam między innymi kopie całych serwerów i różnych komputerów poszczególnych pracowników.

Gdzieniegdzie nazwy i rozmiary plików wskazywały na systemy finansowo – księgowe szpitala, w tym dane pracowników.

Znaleźć można było także pliki wyglądające jak kopie skrzynek pocztowych pracowników administracyjnych szpitala.

Ślady wcześniejszy ataków?

W niektórych folderach znaleźliśmy także ślady zostawione przez… ransomware. Był to najczęściej plik „message_for_you.txt” z lipca 2015 roku o treści:

Hello all.
Your files have been crypted by 2 popular algoritms – AES and RSA. Only we have private RSA key
All encrypted files now starting with message_

You can buy our decryptor that will recover all your files. You need:
1) Send us 4 bitcoins on our bitcoin address 1G5jgHsuEjU1U4U1URkeSx2D6uCz6c1QYi (Now 1 bitcoin approximately = 260 $)
Only we and you know about this address, so we will understand that its your payment.
You can check the balance of this address here https://blockchain.info/address/1G5jgHsuEjU1U4U1URkeSx2D6uCz6c1QYi
2) Send us your unique identificator on our mail kbst@ruggedinbox.com and write us that you have been paid.
You dont need send us any confirmation of your payment (we have installed bitcoin software and we will check your payment with this software)
3) Wait 1 or 2 or… 24 hours and we will send you decryptor (it is very easy to use it – you
need only run decryptor executable file and wait 1-10 hours and all files will be decrypted)

Czasem widać było także zaszyfrowane przez ransomware pliki, których nazwy rozpoczynały się od ciągu „message_”.

Nie byliśmy w stanie ustalić czy był to efekt uruchomienia ransomware na serwerze, czy też pobrania plików z dostępnego serwera, zaszyfrowania i wgrania ich z powrotem na serwer. Sam ransomware wygląda na dość egzotyczny.

 

Pirackie oprogramowanie, płyty i kryptowaluty

Jak na każdym porządnym serwerze plików nie mogło także zabraknąć bardziej tradycyjnych elementów takich jak album Paktofoniki, pirackie wersje popularnych programów czy programów do kopania kryptowalut. Przykłady znajdziecie w poniższej galerii:

Konfiguracja koparki kryptowalut wyglądała tak:

Co mogą zrobić osoby poszkodowane

O odpowiedź na to pytanie poprosiliśmy Beatę Marek, prawniczkę specjalizującą się w kwestiach bezpieczeństwa informacji, autorkę serwisu Cyberlaw.pl oraz Pomocnik RODO.

Osoby, których dane mogły zostać udostępnione, mają prawo zwrócić się do organizacji, w której doszło do wycieku i dowiedzieć się czy ich dane nie zostały ujawnione i czy są należycie zabezpieczone. Najlepiej kontaktować się z Administratorem Bezpieczeństwa Informacji, a jeśli nie jest on wyznaczony w danej organizacji to bezpośrednio z kierownictwem. Jeżeli nie uzyskamy odpowiedzi albo będzie ona niewyczerpująca możemy się zwrócić ze skargą do Generalnego Inspektora i opisać sprawę. Z kolei osoby, których dane osobowe zostały naruszone mają prawo domagać się odszkodowania na drodze sądowej z tytułu naruszenia np. dóbr osobistych. Warto jednak zebrać materiał dowodowy oraz ustalić rozmiar szkody. Z mojej praktyki wynika, że osoby, których dane zostały naruszone rzadko decydują się na taki ruch. Przeważnie dlatego, że zniechęcają je koszty postępowania oraz potencjalny czas na rozstrzygnięcie sprawy, a także relatywnie niska wartość odszkodowania i stopień skomplikowania sprawy. W przypadku sprawy karnej pokutuje natomiast świadomość, że wyciek danych to błaha sprawa bo to przecież nie jest kradzież czy zabójstwo.

Podsumowanie

Kiedy tylko zorientowaliśmy się w wadze i skali incydentu, natychmiast zgłosiliśmy go władzom SP ZOZ Koło. Po parunastu godzinach otrzymaliśmy podziękowanie za zgłoszenie i potwierdzenie, że dane zostały usunięte z serwera (choć nie rozumiemy, dlaczego serwer usługa serwera plików nadal jest dostępna z internetu a jeszcze kilka dni po naszej interwencji pokazywała bez uwierzytelnienia liste folderów…). Wysłaliśmy także do dyrekcji kilka pytań:

  1. Jakie poufne lub wrażliwe dane oprócz listy 50 tysięcy pacjentów znajdowały się w udostępnionych folderach?
  2. Od kiedy dane były publicznie dostępne?
  3. Czy dokonano weryfikacji, jakie dane, kiedy i przez kogo były pobierane? Jeśli tak, to jakie były wyniki weryfikacji?
  4. Jakie działania podjęto w celu ograniczenia skutków wycieku i poinformowania osób, których dotyczył?

Niestety do momentu publikacji artykułu nie otrzymaliśmy odpowiedzi. Według naszych informacji osoby, których dane mogły zostać ujawnione, nie zostały do tej pory poinformowane o incydencie. Mamy nadzieję, że wkrótce się to zmieni…