Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

 

Ministerstwo Zdrowia poinformowało o naruszeniu danych osobowych gromadzonych w systemie P1. Użytkownicy Internetowego Konta Pacjenta (IKP) poprzez zmianę w adresie URL strony mogli uzyskać dostęp do dokumentacji medycznej innych osób. Zaznaczono, że odkryta podatność dotyczyła tylko jednego szpitala.

• Komunikat dla mieszkańców Katowic
• Nadciąga zmiana pogody. IMGW wydał komunikat
• Wyłączenia prądu w Warszawie. Jest komunikat
• Jedno z ugrupowań z katastrofalnym wynikiem. Najnowszy sondaż
• "Będziemy bardzo tęsknić". Smutny komunikat warszawskiego zoo
• Morderstwo na kampusie UW. Policja udostępniła nagranie
• Wpadka w radiowej Trójce. Prowadząca "wsypała" ABW ws. Karola Nawrockiego?
• Groźna substancja w popularnym produkcie. GIS wydał ostrzeżenie
• Imigranci odesłani do Polski. Niemieckie służby wydały komunikat

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

Jak czytamy w oświadczeniu MZ, w Internetowym Koncie Pacjenta jeden użytkowników odkrył podatność polegającą na odpowiedniej modyfikacji fragmentu adresu URL w pasku przeglądarki. Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w ten sposób możliwe było uzyskaniu nieuprawnionego dostępu do dokumentacji innych pacjentów.

Należy podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca.

Błąd został naprawiony

Analiza wykazała, że podatność była związana z konkretnym podmiotem leczniczym, którego system przechowywania danych nie zabezpieczył się prawidłowo w zakresie weryfikacji uprawnień użytkowników. Dostawca systemu potwierdził błąd w swojej usłudze.

Problem został zgłoszony przez Centrum e-Zdrowia do Ministerstwa Zdrowia 28 kwietnia 2025 r. W ramach działań weryfikujących przeprowadzono testy, które miały na celu sprawdzenie zakresu podatności systemu.

Skontaktowano się z dostawcą wadliwego oprogramowania oraz z odpowiednim podmiotem leczniczym. Błąd w systemie został naprawiony przez dostawcę, a poprawka została wdrożona 25 kwietnia 2025 r. Minister Zdrowia zgłosił naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) 29 kwietnia 2025 r.

Jakie dane wyciekły?

Podsumowując, nieuprawnione ujawnienie danych osobowych obejmowało:

• Imiona i nazwiska,
• Daty urodzenia,
• Adresy zamieszkania lub pobytu,
• Numery PESEL,
• Serie i numery dowodów osobistych,
• Dane dotyczące zdrowia z dokumentacji medycznej.

Konsekwencje związane z wyciekiem to m.in.:

• Umieszczenie danych w nielegalnych bazach,
• Nieuprawniony dostęp do systemów medycznych,
• Składanie dyspozycji w placówkach medycznych w imieniu poszkodowanego,
• Wyłudzenie informacji medycznych,
• Ryzyko wyłudzenia kredytu, ubezpieczenia lub pożyczki,
• Kradzież tożsamości,
• Uzyskanie dostępu do kont bankowych,
• Łatwiejsze złamanie haseł opartych na danych osobowych,
• Wyłudzenie kolejnych danych,
• Założenie kont internetowych na dane poszkodowanego,
• Podszywanie się pod poszkodowanego.

Zalecenia resortu

Ministerstwo Zdrowia zaleca:

1. Zgłoszenie podejrzenia kradzieży tożsamości na policję.
2. Monitorowanie wykorzystania danych osobowych w systemach takich jak BIK, BIG, KRD oraz korzystanie z serwisu Chroń PESEL.
3. Kontakt z placówkami medycznymi w celu weryfikacji dyspozycji.
4. Ostrożność przy podawaniu danych osobowych online lub przez telefon.
5. Ignorowanie nieoczekiwanych wiadomości od nieznanych nadawców.
6. Unikanie używania danych osobowych jako haseł.
7. Zastrzeżenie numeru PESEL przez aplikację mObywatel.
8. Rozważenie środków prawnych w przypadku poniesienia strat.