Do zdarzenia miało dojść w pierwszej połowie marca. Producent – zdaniem Niebezpiecznika – wiedział o wycieku już 14 marca. Wtedy to na jednym z kanałów platformy telegram miała pojawić się oferta sprzedaży pakietu danych za… 150 dolarów. Informację miał wychwycić jeden z pracowników firmy Rexnet zajmującej się bezpieczeństwem w sieci, który jeszcze tego samego dnia przesłał informację do firmy Medily. Ta na wiadomość jednak nie odpowiedziała.
Sprawa zrobiła się głośna kilka dni później, gdy wrocławskie centrum medyczne DCG, które do 2021 roku było klientem łódzkiej firmy, poinformowało o wycieku danych swoich pacjentów.
- Z przykrością informujemy o incydencie bezpieczeństwa, który miał miejsce 19.03.2024 w firmie Medily, dostawcy oprogramowania medycznego Aurero dla placówek medycznych w Polsce – napisało centrum DCG na swojej stronie internetowej. Poinformowało przy tym, że wyciekły dane osób, które leczyły się w nim między 2001 a 2019 rokiem.
- Dane niektórych Pacjentów sprzed 2020 roku wyciekły z systemu medycznego AURERO, którego dostawcą była spółka Medily Sp. z o.o. z siedzibą w Łodzi. Centrum Medyczne DCG zakończyło współpracę z Medily z dniem 31 stycznia 2021 roku, a spółka była zobowiązana do usunięcia kopii zapasowych danych niezwłocznie po zakończeniu Umowy, czego mimo nie dokonała. Dane Medily sp. z o.o. zostały skradzione z serwerów firmy, między innymi zawierające dane niektórych pacjentów DCG Centrum Medyczne.
Łódzka firma odniosła się do sprawy, przesyłając do Niebezpiecznika komunikat potwierdzający zdarzenie.
- Informację o naruszeniu bezpieczeństwa danych otrzymaliśmy od CERT NASK, który wskazał, że na forum cyberprzestępczym dostępnym w sieci TOR opublikowano dane pochodzące z systemu Aurero – napisała firma. - naruszeni[e] naszych zabezpieczeń (…) to 11 marca 2024. Pomimo zastosowania wielu warstw zabezpieczeń (długie bezpieczne hasła, niestandardowe nazwy użytkowników, zabezpieczenia antyspamowe i inne), wciąż ustalamy, jak ktoś mógł dokonać ich przełamania.
Sprawą zainteresował się Urząd Ochrony Danych Osobowych.
- Sprawa wycieku danych pacjentów wrocławskiej kliniki DCG Centrum Medyczne jest znana Prezesowi UODO. Organ nadzorczy w związku z tymi wydarzeniami podejmie działania w ramach zadań i uprawnień, przysługujących mu na gruncie ogólnego rozporządzenia o ochronie danych (RODO) oraz przepisów krajowych – napisano na stronie UODO.
Urząd będzie też prawdopodobnie wyjaśniać, czy dane, które wyciekły dotyczą tylko jednej kliniki, czy też innych podmiotów, które korzystały z oprogramowania łódzkiej firmy. Z informacji udostępnionych przez Niebezpiecznik wynika, że problem wycieku danych może dotyczyć jeszcze 39 klinik w całym kraju.
Co wyciekło?
Jak informuje Niebezpiecznik złodziej ukradł komplet danych, wśród których w wielu przypadkach znajdują się:
- Imiona, nazwiska
- PESEL-e i daty urodzenia
- Adresy
- Numery telefonów
- Adresy IP (zapewne wyłącznie lekarzy)
- Dane o rezerwacjach wizyt,
- Informacje o lekarzu
- Opisy badań
- Przepisane leki
- Dane o logowaniu do systemu
- Dane o opłaceniu rezerwacji, identyfikatory i inne „robocze” dane
Do czego to może posłużyć?
Komplet danych osobowych i teleadresowych w niepowołanych rękach może posłużyć wielu celom np. podszywaniu się pod daną osobę np. w celu wyłudzenia pożyczki (do kredytu potrzebny jest również numer i seria dowodu, których nie ma w wykradzionych danych), podjęciu pracy, nieuprawnionym podróżom.
Czy moje dane zostały wykradzione?
Na razie wiadomo jedynie, że ofiarą kradzieży danych padli pacjenci wrocławskiego centrum medycznego DCG. Czy są również inni poszkodowani – na razie nie wiadomo.Urząd Ochrony Danych Osobowych radzi jednak, by w razie wątpliwości zwrócić się do administratora swoich danych z pytaniem, czy dane nie wyciekły (będą to przychodnie i centra medyczne korzystające z systemu Aurero. Warto również przedsięwziąć inne środki:
- Takimi działaniami może być np. założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zachowanie jeszcze większej ostrożności podczas podawania danych przez Internet lub telefon, by np. osoby o nieuczciwych zamiarach nie uzyskały np. dodatkowych danych, które ułatwią im np. tzw. kradzież tożsamości- informuje UODO na swojej stronie.
Komentarze (0)
Wysyłając komentarz akceptujesz regulamin serwisu. Zgodnie z art. 24 ust. 1 pkt 3 i 4 ustawy o ochronie danych osobowych, podanie danych jest dobrowolne, Użytkownikowi przysługuje prawo dostępu do treści swoich danych i ich poprawiania. Jak to zrobić dowiesz się w zakładce polityka prywatności.