uPacjenta.pl — ktoś pozyskał dostęp do danych i wyników badań pacjentów

[Grandalf]

Serwis upacjenta.pl, który ściśle współpracuje z diag.pl (Diagnostyka Sp. z o.o.) poinformował właśnie o incydencie swoich pacjentów. Ktoś włamał się do systemu informatycznego dostawcy (firmy RIOT Agency), gdzie składowane były dane o zdrowiu pacjentów, a także ich dane osobowe, w tym PESEL oraz dane kontaktowe. Zdarzenie miało miejsce 10 dni temu, 3 listopada.

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Grandalf]

Aktualizacja 13.11.2020, 22:01
Odpowiedzi od serwisu wciąż nie ma, ale w międzyczasie "Niebezpiecznik" przyjrzał się bliżej “dostawcy usług IT”, firmie RIOT Agency (upacjenta.pl twierdzi że jest ofiarą kryzysu u tego dostawcy). I zaktualizowano artykuł o rozdział “Nie taki znowu zewnętrzny ten dostawca”. Miłej lektury!

 

[Grandalf]

Aktualizacja 16.11.2020, 10:04

Pani Weronika Ulińska-Krycia z upacjent.pl, przesłała Niebezpiecznikowi poniższe oświadczenie:

6.11 otrzymaliśmy pierwszą informację o możliwości zaistnienia incydentu bezpieczeństwa i możliwym wycieku danych. Mając na uwadze bezpieczeństwo danych użytkowników, będące dla nas priorytetem, niezwłocznie podjęliśmy działania mające na celu zweryfikowania tej informacji, wyjaśnienie sprawy i ustalenie skali ewentualnego wycieku. Na tę chwilę jesteśmy w stanie potwierdzić dostęp do bazy 51 tysięcy rekordów (nie użytkowników). W momencie, gdy tylko potwierdziliśmy ingerencję z zewnątrz w system dostawcy usług internetowych, a przez to możliwość uzyskania dostępu do naszych danych, zgłosiliśmy sprawę do Urzędu Ochrony Danych Osobowych oraz niezwłocznie w dniu 12.11 rozpoczęliśmy informowanie wszystkich pacjentów, których mogło dotyczyć to zdarzenie. Dostawcą naszych usług jest spółka Riot Agency, z którą jesteśmy związani osobowo. Jest to informacja ogólnodostępna. Fakt ten nie zmienia obiektywnej oceny sytuacji i faktów związanych ze zdarzeniem. To podmiot funkcjonujący na rynku od 5 lat. Posiada doświadczenie i rekomendacje wynikające z projektów realizowanych dla branży medycznej. Do tej pory, w naszej 4-letniej współpracy wszystko przebiegało pomyślnie i bez jakichkolwiek zarzutów. Tym bardziej jesteśmy zaskoczeni tym zdarzeniem, do którego wg opinii ekspertów doszło i mogło dojść bez względu na wszelkie starania i zachowanie przez strony najwyższych standardów bezpieczeństwa.

Obecnie nasze siły i działania skoncentrowane są na całkowitym zneutralizowaniu incydentu. Wszystkie nasze dane zostały przeniesione na naszą własną infrastrukturę, by uniknąć dostępu osób nieuprawnionych. Jesteśmy otwarci na Państwa pytania, prosimy jednak o zrozumienie, że w obecnej sytuacji wg opinii ekspertów niecelowe ze względu na bezpieczeństwo jest przedstawianie szczegółów dotyczących architektury oraz zabezpieczenia systemów, jak używane funkcje skrótów, mechanizmy szyfrujące, wersje systemu, aplikacji itp.). Możemy jednak zaznaczyć, że zarówno hasła jak i dane dotyczące wyników były szyfrowane. Najnowsze audyty bezpieczeństwa aplikacji oraz infrastruktury wykonywane przez zewnętrzne firmy zostały przeprowadzone w maju i czerwcu tego roku. Ponadto na bieżąco prowadzone są wewnętrzne testy bezpieczeństwa. Platforma jest rozwijana w myśl zasady Continuous Development, a kod źródłowy jest testowany na bieżąco w miarę wytwarzania nowego oprogramowania. Systematycznie prowadzimy także wewnętrzne szkolenia w zakresie bezpieczeństwa oraz testowanie aplikacji internetowych pod tym względem. Wspomniany incydent potwierdza, że mimo najwyższych starań i standardów, bez względu na skalę zabezpieczeń zawsze istnieje ryzyko w obszarze cyberbezpieczeństwa i prób ingerencji z zewnątrz. Jak wspomnieliśmy, dane są obecnie bezpieczne, przeniesione na nową, wewnętrzną infrastrukturę. Ponadto, rozpoznajemy rynek w kontekście uzyskania dodatkowej ekspertyzy, potwierdzającej nasze przekonanie o osiągnięciu maksymalnego poziomu zabezpieczeń.

Podsumowując, 6 dni minęło od wykrycia incydentu do “upewnienia się że był” i informacji użytkowników. 51 tysięcy “rekordów” wyciekło (czymkolwiek jest rekord). Dane przeniesione z testowanej i dopieszczanej przez lata infrastruktury na nową, własną… Security by obscurity obraną strategią dot. zabezpieczeń, chociaż firma wspomina, że “hasła i dane wyników były szyfrowane”. To dobrze nie wróży, przynajmniej hasłom. Firma szkoli się wewnętrznie w tematach bezpieczeństwa.