Dane pacjentów sieci centrów diagnostycznych były łatwo dostępne w sieci

Jakub "Jaqp" Dmuchowski

Multidiagnostica, krakowska sieć centrów diagnostyki obrazowej oraz pracowni rentgenowskich, postanowiła przyoszczędzić na programistach.

O problemie doniosła Zaufana Trzecia Strona i nie ma obaw – poinformowano o nim zarówno Multidiagnosticę, jak i UODO. Na czym jednak polegało zajście? Otóż po zalogowaniu się do systemu i kliknięciu grafiki przedstawiającej wynik badania, użytkownik przekierowany był na stronę, w które adresie znajdował się parametr „id” oraz towarzyszącą mu wartość w postaci liczby. Wystarczyło ją zmienić, aby system wyświetlił wyniki innej osoby. Można się spierać, że przecież to tylko zdjęcie rentgenowskie i nie wiemy nawet, do kogo ono należy. Nie jest to jednak ani koniec historii, ani dziur znalezionych w systemie Multidiagnostiki.

Adekwatny problem dotyczył wyświetlania danych osobowych. Ponownie, zmiana wartości liczbową poprzedzonej parametrem „id” okazała się skutecznym sposobem na uzyskanie możliwości rzucenia okiem na dane personalne losowej osoby, która korzystała z usług krakowskiej sieci centrów diagnostycznych. Wyświetlane w ten sposób informacje zawierały nie tylko imię i nazwisko pacjenta, ale również jego PESEL, datę urodzenia oraz numer telefonu i adres email. Jak zauważyła jednak Zaufana Trzecia Strona, wciąż otrzymujemy dane losowych osób, a żeby uzyskać do nich dostęp, tak czy siak musimy uprzednio osobiście zalogować się do systemu.

Myli się jednak ten, kto sądzi, że to koniec perypetii z dziurawym oprogramowaniem Multidiagnostiki. Ostatnia z zaobserwowanych bolączek jest najpoważniejsza, a związana jest z przeglądarką wyników badań w formacie DICOM. Jedyne, co należało zrobić, to w odpowiedni sposób skrócić ścieżkę wyświetlonej strony, aby tak po prostu trafić do panelu systemu, a z jego poziomu można zdziałać już naprawdę wiele – od wyszukania konkretnych osób w bazie, po zapoznanie się z listą wszystkich pacjentów oraz informacjami na ich temat. Zwrócono przy tym uwagę na fakt, że domyślnie system powinien wymagać uwierzytelnienia, jednak to, z jakiegoś powodu, zostało wyłączone. I, jak się okazuje, pomysł ten trudno zaliczyć do grona błyskotliwych.