20:04
25/3/2024

[AKTUALIZACJA #2] Zhackowano serwery Medily, firmy która przetwarzała dane o wizytach pacjentów różnych klinik. Dane pacjentów opublikowano w internecie

Autor: redakcja | Tagi:  

Ten artykuł jest stale aktualizowany, a więc doczytaj go do końca, aby wyrobić sobie pełne zdanie o incydencie. W aktualizacjach dodaliśmy zarówno nowe informacje otrzymane od Was jak i oświadczenie kliniki. Aktualizacje dodajemy chronologicznie, dzięki czemu możecie śledzić bieg wydarzeń tak, jak faktycznie on wyglądał. Jak możecie zauważyć, wszystko co domniemywaliśmy przed dodaniem aktualizacji, niestety okazało się być prawdą, co więcej, w czarniejszym niż zakładaliśmy scenariuszu.

Otrzymujemy wiadomości od zaniepokojonych Czytelników, że właśnie dostali SMS-a o następującej treści:

Uwaga! DCG Centrum Medyczne sp. z o.o. (DCG) informuje, iz doszlo do naruszenia poufnosci Panstwa danych osobowych poprzez ich bezpodstawne przechowywanie po rozwiazaniu umowy przez podmiot, ktoremu powierzylismy przetwarzanie Panstwa danych (procesor), a nastepnie poprzez kradziez Panstwa danych z systemow informatycznych procesora na skutek ataku hakerskiego oraz ujawnienia tych danych na forum cyberprzestepczym.

Jak widzicie, wiadomość nie jest bogata w szczegóły, pewnie dlatego część z odbiorców zgłaszało nam ją jako …spam. Ale to nie scam, DCG Centrum Medyczne faktycznie odnotowało incydent i wiadomość wysłało do osób, których dane przetwarzało (lub powierzyło do przetwarzania kontrahentowi). Wygląda na to, że część z osób, która otrzymała tę wiadomość po prostu nie pamięta, że korzystało z usług tego wrocławskiego centrum medycznego, które — jak czytamy na ich stronie — specjalizuje się w “zdrowiu intymnym”:

Nie wiemy, czy wysyłka tej wiadomości to własna inwencja DCG Centrum Medyczne, czy nakaz ze strony UODO. Ale wiadomość stworzona jest tak, że można odnieść wrażenie, iż jej celem było “odhaczenie” obowiązku poinformowania poszkodowanych o incydencie. I niestety tylko tyle, bo SMS nie zawiera żadnych szczegółów co do tego:

  • jakie konkretnie dane zostały skradzione? I czy u każdego takie same?
  • kim jest “procesor”, czyli podmiot któremu DCG Centrum Medyczne udostępniło dane, które zostały skradzione
  • jakie mogą być skutki tego wycieku danych dla poszkodowanych
  • jak wysokie wg kliniki jest ryzyko nieuprawnionego użycia danych?

Na stronie kliniki też nie znajdziemy ani słowa o incydencie, a pacjenci w internecie są mocno zdezorientowani. Telefon kliniki nie odpowiada (można się spodziewać, że po takim nieprecyzyjnym sformułowaniu komunikatu, został zadzwoniony na śmierć przez zaniepokojonych pacjentów):

Przygotowaliśmy w tej sprawie pytania do DCG Centrum Medyczne i jeśli otrzymamy na nie odpowiedź, zaktualizujemy ten artykuł.

Jakie dane przetwarza ta klinika?

Z polityki prywatności kliniki wynika, że przetwarza ona następujące dane osobowe:

  • imię i nazwisko,
  • PESEL lub datę urodzenia,
  • płeć
  • numer telefonu,
  • adres e-mail

ale oczywiście dochodzą do tego jeszcze dane medyczne (obejmują m.in. opis przebiegu procesu leczenia i diagnostyki). Klinika w polityce prywatności informuje, że dane te może przekazywać zewnętrznym podmiotom:

Pani/Pana dane mogą być przekazywane podmiotom przetwarzającym dane osobowe na zlecenie administratora m.in. dostawcom usług IT, podmiotom obsługującym płatności (…) agencjom marketingowym (…) – przy czym takie podmioty przetwarzają dane na podstawie umowy z administratorem i wyłącznie zgodnie z poleceniami administratora.

Byłem pacjentem DCG Centrum Medyczne — co robić, jak żyć?

Jak już wspomnieliśmy, poszkodowani nie zostali poinformowani ani jakie ich dane wykradziono ani od którego z dostawców. Aby to ustalić możecie zadzwonić do administratora danych osobowych kliniki, na numer wskazany w polityce prywatności +48 71 71 88 600 lub napisać do niego e-maila na adres kontakt@dcg.wroclaw.pl.

Do momentu ustalenia szczegółów incydentu, sugerujemy założyć najgorsze — że ktoś pozyskał wszystkie Wasze dane.


Aktualizacja (25.03.2024 20:34)
Jeden z Czytelników przesłał nam kolejną wiadomość, jaką właśnie otrzymał od DCG (lepiej późno, niż wcale)

Jak widać, nasze pesymistyczne założenia okazały się być poprawne. Wyciekło “wszystko”, a nawet więcej, bo jeszcze adres zamieszkania (którego polityka prywatności nie wskazywała).

Dobrym pomysłem będzie więc:

  1. Zastrzeżenie numeru PESEL
  2. Zwiększenie czujności na kontakty telefoniczne/e-mailowe, które mogą mieć na celu wyłudzenie od Was dodatkowych danych w związku z tym incydentem. Pamiętajcie, że oszuści mogą być bardzo wiarygodni, skoro posiadają Wasze dane kontaktowe a być może nawet i historię choroby
  3. Zaprzestanie korzystania z numeru telefonu i e-maila, który został podany klinice, jeśli nie chcecie aby dane z tego wycieku pojawiały się komuś w korelacji z innymi wyciekami z przyszłości, dotyczącymi nowych usług z których skorzystacie posługując się tymi sami identyfikatorami kontaktowymi.

 

Zapoznajcie się też z nagraniem naszego krótkiego szkolenia, pt. “Co robić po wycieku danych?“.

W szczegółach omawiamy w nim różne usługi oraz narzędzia (zarówno te darmowe jak i płatne) pod kątem tego czy warto w ogóle z nich skorzystać, aby zminimalizować negatywne skutki wycieku waszych danych. Z tego materiału dowiecie się też jak namierzyć, jakie Wasze dane już latają po internecie i jak przygotować się na kolejne wycieki danych, jeśli jakimś cudem Wasze dane jeszcze nie wyciekły.

Z kodem DCG otrzymacie 50% zniżki na dostęp do tego tego szkolenia. Kod ważny jest tylko do końca dnia, ale bez obaw, dostęp do nagrania macie na 30 dni, więc spokojnie zdążycie się z nim zapoznać. Oto link wprost do koszyka.


Aktualizacja (25.03.2024 21:34)
Jest jeszcze gorzej niż myśleliśmy. Wśród wykradzionych danych są:

  • Imię i nazwisko pacjenta
  • PESEL
  • dane adresowe
  • dane kontaktowe (e-mail, telefon)
  • informacje o wizytach (data, dane lekarza i jego specjalizacja)
  • dane o stanie zdrowia (recepty, skierowania)

W otrzymanym od DCG Centrum Medyczne oświadczeniu czytamy, że wyciek nastąpił ze środowiska testowego (!) firmy MEDILY, która w latach 2019-2021 dostarczała klinice oprogramowanie AURERO do zarządzania wizytami. Chociaż DCG Centrum Medyczne rozwiązało z MEDILY umowę w dn. 31 stycznia 2021 roku, to okazuje się, że firma MEDILY nie skasowała danych pacjentów, choć powinna była to zrobić jeszcze w 2021 roku (niech żyje SaaS!). Dane które wykradziono miały być za okres do 2019 roku.

Okazuje się też, że dostaniecie w sumie 4 wiadomości SMS. DCG po prostu niezbyt fachowo skonfigurowało masową wysyłkę SMS-ów i wiadomości zamiast przyjść jedna po drugiej, są zakolejkowane i będą sukcesywnie do Was spływać. Niech lekcją z tego incydentu będzie, że nawet jak zawini podwykonawca, to warto proces informowania ofiar przeprowadzić w sposób przemyślany. Inaczej pojawia się sporo niepotrzebnych emocji.

Czy masz się bać?

Klinika twierdzi że… nie. Serio. Oto cytat z ich oświadczenia (“forum cybeprzestrzenne” to już pomińmy milczeniem, DCG i tak nie ma dziś najlepszego dnia)

My się z tą diagnozą nie zgadzamy.

W wykradzionych danych znajdują się kompletne dane osobowe, kontaktowe, adresowe ale też historia medyczna, o której — co ciekawe — w SMS-ie nie informowano. To bardzo wrażliwe informacje, najwrażliwsze. Źli ludzie (i już nie tylko sami atakujący, bo dane przecież były opublikowane w internecie i były możliwe do pobrania przez innych) mogą teraz wykorzystać te wszystkie informacje do szantażu, prześladowania.

Dziwi nas bardzo, że w 2024 roku, po wycieku z laboratoriów ALAB, ktoś ma jeszcze odwagę bagatelizować taki zakres wycieku.


Aktualizacja (26.03.2024 10:22)
Otrzymaliśmy od wiceprezesa spółki DCG Centrum Medyczne, Maksymiliana Markuszewskiego następującą wiadomość:

Niefortunnie narzędzie komunikacyjne wysyłało powolnie SMSy, nie mogliśmy tego przewidzieć, dokładamy wszelkich starań, aby poinformować wszystkie dotknięte atakiem na Medily osoby. W celu rozwiania wątpliwości cała treść wiadomości sms jest następująca:

Uwaga! DCG Centrum Medyczne sp. z o.o. (DCG) informuje, iż doszło do naruszenia poufności Państwa danych osobowych poprzez ich bezpodstawne przechowywanie po rozwiązaniu umowy przez podmiot, któremu powierzyliśmy przetwarzanie Państwa danych (procesor), a następnie poprzez kradzież Państwa danych z systemów informatycznych procesora na skutek ataku hakerskiego oraz ujawnienia tych danych na forum cyberprzestępczym. Dane,które zostały ujawnione to: imię, nazwisko, płeć, data urodzenia, PESEL, adres zamieszkania, adres e-mail, numer telefonu. Przestępstwo zostało zgłoszone do organów ścigania, link z danymi ujawnionymi na forum cyberprzestępczym został usunięty i dane nie są już dostępne, procesor zmienił hasła dostępowe do swoich systemów, procesor został przez DCG zobowiązany do trwałego usunięcia Państwa danych. W konsekwencji naruszenia może dojść do: kradzieży lub sfałszowania tożsamości poprzez zaciąganie na Państwa dane kredytów w instytucjach pozabankowych, zawierania innego rodzaju umów na Państwa szkodę, podszywania się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji, np. danych do logowania, naruszenia dóbr osobistych. Zalecamy zastrzeżenie numeru PESEL oraz zachowanie ostrożności w kontaktach z osobami próbującymi pozyskać od Państwa jakiekolwiek informacje. Inspektor ochrony danych osobowych DCG: Anna Jaroszyńska, e-mail: kontakt@dcg.wroclaw.pl, tel.: (+48) 7171 88 600.

Wiceprezes poinformował, że klinika aktualizuje dokument informujący o ataku na bieżąco i odpowiada na zapytania mailowe i telefoniczne. Dodał też, że klinika jest “rodzinną firmą, rzetelnie świadczącą usługi od 23 lat. Czujemy się niesprawiedliwie osądzani, podobnie jak nasi pacjenci i my jesteśmy w całym tym procesie poszkodowani (…) Wielu odbiorców, którzy nie doczytają artykułu do końca, wychodzą z przekonaniem, że to spółka DCG została zhackowana. Tymczasem, próbujemy dopełniać wszystkich nałożonych na nas prawem obowiązków, możliwie jak najlepiej – nie zaś jak Państwo napisali, ‘odhaczając’. Staramy się pozyskiwać informacje od Medily i informować pacjentów na bieżąco.”

Nie pozostaje nam nic innego, jak powtórzyć to, co napisaliśmy już wcześniej w artykule, że komunikację incydentu warto przemyśleć, bo inaczej można spowodować chaos i obciążenie swoich infolinii. Nie wątpimy w intencje kliniki, która chciała poinformować swoich pacjentów o zagrożeniu, choć zawiniła nie ona, ale dostawca. Można mieć zastrzeżenia do sposobu w jaki zostało to zrobione i do treści niektórych sformułowań w oświadczeniu, ale niewątpliwie warto pochwalić klinikę za podjęcie działań, które w zasadzie podjąć powinien zhackowany dostawca. Niestety, dobre intencje nie zawsze wystarczą by gładko przejść przez proces komunikacji incydentu, dlatego lepiej realizować go we współpracy ze specjalistami nie tylko z zakresu ochrony danych osobowych, ale i komunikacji kryzysowej.

Pochwalmy też klinikę za to, że usunęła ze swojego oświadczenia niefortunne wypowiedzi na pytanie “czy mam się bać”, na które zwróciliśmy uwagę. Zacytujmy także nowy fragment, który się pojawił się w tym oświadczeniu, a który dotyczy sytuacji wielu naszych Czytelników:

  • Nigdy nie byłem pacjentem/pacjentką, a dostałem SMS. Dlaczego? – DCG Centrum Medyczne funkcjonuje na rynku wrocławskim od 2001 roku (23 lata). Do niedawna spółka funkcjonowała pod marką Dolnośląskie Centrum Ginekologii i Zdrowia Rodziny, a jeszcze wcześniej pod praktyką ginekologiczną MARIMAR – zarówno na powstańców śląskich 48 jak i na ul. krynickiej 22/1A. Jeżeli nigdy nie korzystaliście Państwo z konsultacji lekarskich w naszych placówkach, telewizyt, nie rejestrowaliście się przez portale zewnętrzne (tj. znany lekarz), lub nie korzystaliście z punktu pobrań, prosimy o skierowanie maila w tej kwestii na adres kontakt@dcg.wroclaw.pl.


Aktualizacja (27.03.2024 13:03)
Opublikowaliśmy kolejny artykuł w którym analizujemy to co faktycznie znajduje się w wykradzionej bazie danych. Bo wbrew temu co stoi w oświadczeniu, baza nie została skasowana z internetu. Jest dalej dostępna i można ją pobrać. Dla przejrzystości, treści tego artykułu nie umieszczamy w kolejnej aktualizacji, możecie go przeczytać tutaj.

Wnioski dla innych

Najważniejsza lekcja z tego incydentu dla innych: jeśli chcesz kogoś informować o wycieku danych swoich klientów, zrób to e-mailem, oświadczeniem na stronie, a w przypadku wysyłania SMS-ów skieruj odbiorców do oświadczenia na stronie internetowej lub kluczowe informacje zawrzyj w pierwszej wiadomości SMS i wskaż, że SMS jest wieloczęściowy. Możesz oznaczyć części tak, jak robi się to w wątkach an Twitterze (1/x, 2/x, etc.).

A jeśli byłeś pacjentem DCG Centrum Medycznego we Wrocławiu do 2019 roku, załóż że wszystkie Twoje dane wyciekły. I poza zastrzeżeniem PESEL-u, podejmij wszelkie dodatkowe kroki, które ochronią Twoją prywatność, zwłaszcza jeśli przedmiotem Twoich wizyt były sprawy natury “wstydliwej”.

Niestety, o zachowanie prywatności w takiej sytuacji należało zadbać zawczasu, podając osobny adres e-mail, nie podając telefonu i rozważając czy warto podać poprawne nazwisko i numer PESEL (prawnie jest to wymagane, ale w niektórych przypadkach można tego uniknąć bez szkody dla zdrowia, a z olbrzymią korzyścią dla prywatności. Oczywiście o refundacjach można wtedy zapomnieć. Miejmy nadzieję, że kiedyś MZ wdroży warstwę anonimizacji w nasz system ochrony zdrowia, najwyższy już czas). Więcej o tym jak dbać o swoje dane, jak sprawdzić czy one wyciekły i jak minimalizować ryzyko kolejnych wycieków we wspomnianym przez nas wyżej szkoleniu. Przypominamy, że z kodem DCG dziś wyjątkowo dostęp możecie zgarnąć z 50% zniżką (przy zakupie do końca dnia — tu link do koszyka).


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

44 komentarzy

Dodaj komentarz
  1. xx 2024.03.25 21:19 | # | Reply

    Czy ktoś tak jak ja, dostał SMSa a nigdy nie słyszał o tej klinice / mieszka parset km od Wrocławia? Zastanawiam się, czy to nie pomyłka. Co prawda zdaję sobie sprawę, że mogli w czymś pośredniczyć, ale nie mam śladu ani na emailu ani w IKP.

    • Filon 2024.03.25 21:48 | # |

      Ja tak mam, nie byłem pacjentem tej kliniki, a dostałem SMS-y, możliwe że mają przejętą bazę z innej firmy medycznej.

    • Marek 2024.03.25 22:18 | # |

      Od kiedy masz swój aktualny nr telefonu? Może dostałeś “w spadku” po kimś kto był klientem kliniki.

    • Hkk 2024.03.25 22:35 | # |

      Ja otrzymałam również smsy od nich mimo, iż nie byłam ich pacjentką i nie znam tej kliniki.

    • k6t 2024.03.25 23:08 | # |

      Szybki rzut oka na aurero – wygląda na apkę chmurową co może uprawdopodabniać scenariusz w którym wyciekły dane także innych podmiotów (a DCG zorientował się/nadał sprawie bieg jako pierwszy)

  2. a 2024.03.25 21:37 | # | Reply

    Ja dostalam ale niestety faktycznie korzystalam z ich uslug. Czy mozna jakos sie z nimi sadzic?

  3. odpxx 2024.03.25 21:42 | # | Reply

    ja tak samo mam i nie wiem co jest grane

  4. Anna 2024.03.25 22:07 | # | Reply

    Otrzymałam również informację jakie dane zostały skradzione

  5. Mm 2024.03.25 22:10 | # | Reply

    Dane ktore wyciekły są do 2019 r może masz nowy numer telefonu w sensie kupiony po 2019 i ten ktoś z tym numerem był pacjentem dcg ?

    • daxx 2024.03.28 12:16 | # |

      Ten ktoś mógł być klientem DCG i w 2005 i wtedy podać nr telefonu, a Ty mieć ten numer od 2007.

  6. Mariusz 2024.03.25 22:31 | # | Reply

    > Miejmy nadzieję, że kiedyś MZ wdroży warstwę
    > anonimizacji w nasz system ochrony zdrowia, najwyższy już czas

    Boję się, że to są płonne nadzieje.

    Zarówno kretyńskie założenia systemu ministerialnego (pałna dokumentacja medyczna wszystkich pacjentów z Polski na centralnych serwerach, powiązana z niezmienialnym i unikalnym numerem PESEL), jak i wykonanie (mała gabinety i przychodnie traktujące IT jako zło konieczne, wysyłające bazy danych pacjentów do NFZ-u przez GMail i pocztę na Onecie czy innym o2.pl) wraz z niskimi płacami w medycznym IT (bo lekarze będący właścicielami przychodni albo dyrektorami szpitali nie rozumieją ważności infrastruktury IT, przez co nie wyobrażają sobie, by adminowi zapłacić więcej niż pielęgniarce) pokazują, że upłyną jeszcze dziesiątki lat, zanim (albo jeśli w ogóle) ktoś się w ministerstwie obudzi.

    Ja bym zresztą oczekiwał, że izby lekarskie – niby to strzegące “godności zawodu lekarza” – się tym zajmą, ale to też mało prawdopodobne. Podejście środowiska lekarskiego do korzystania z komputerów jest D.R.A.M.A.T.Y.C.Z.N.E – i to nie tylko tych starych nieumiejących klinąć w Wordzie, a nawet młodych, którzy żyją w smartfonie. W ogóle nie przejmują się jakąś groźbą wycieku itd., bo znieczulica powstająca od pracy w polskich szpitalach, przychodniach i klinikach powoduje, że takie – wg nich – “pierdoły” jak prywatność czy prawa pacjenta, zaczynają mieć w głębokim poważaniu.

    Niestety.

    • Mateusz 2024.03.26 05:39 | # |

      Przesyłają bazy do NFZ przez Gmail lub o2?
      To jakaś legenda miejska? Czy rzeczywiście pracujesz w Przychodni która ma taki kontakt z NFZ? W którym oddziale tak jest?
      Sprawozdawczość rzeczywiście jest, ale przez systemy NFZ i żaden prywatny mail nie ma tu nic do gadania

      Co nie znaczy że jest cudownie, bo problemów w informatyzacji OZ jest mnóstwo, ale nie siejmy fejków

    • Qrczak 2024.03.26 13:33 | # |

      Oczywiście, niektórzy nawet na Google Drive potrafią trzymać niezaszyfrowany backup całej bazy danych pacjentów danej przychodni.

      Ponadto na własne oczy widziałem przesyłanie (między wielkimi klinikami) wyników badań pacjentów przez email na o2.pl oraz wrzucanie archiwów badań pacjentów na serwery FTP dostępne bez uwierzytelnienia.

    • As 2024.03.27 06:02 | # |

      Również nie pamiętam, abym kiedykolwiek korzystała z ich usług. Nie dostałam smsa (a numer mam “od zawsze”), jedynie maila na adres, którego raczej nigdzie nie podaję…. wątpliwe jest też, by ktoś go wpisał w celu uniknięcie podawania swojego maila

      Ciekawe

  7. vis 2024.03.25 22:54 | # | Reply

    Dlaczego wszyscy doradzają zastrzeżenie numeru pesel a nikt nie mówi o tym ze obecnie to absolutnie nic nie daje? Banki i inne instytucje beda weryfikować ten rejestr dopiero od 1 czerwca 2024, obecnie nie maja ani takiego obowiązku ani nawet technicznej możliwości . Takie niepełne informacje daja fałszywe poczucie bezpieczeństwa w sytuacji kiedy zastrzeżenie peselu nie niesie ze soba absolutnie żadnych skutków przez następne dwa miesiace.

    • twój nick 2024.03.26 16:34 | # |

      Coś chyba jednak da, ale to nowość więc zobaczymy jak nasza Najświętsza Niezawisłość Sędziowska Bezkarnie Jeżdżąca Po Pijanemu zareaguje i jaką Linię Orzeczniczą wysmrodzi w okresie przejściowym. W teorii mogą brać pod uwagę datę zastrzeżenia, w szczególności jeżeli miała ona miejsce przed “pożyczką”, w praktyce wiadomo że Niezawisłość rządzi się swoimi regułami.

    • xjha 2024.03.28 12:18 | # |

      Nie, od czerwca banki i instytucje będą miały OBOWIĄZEK.
      Ale banki już teraz MOGĄ (i raczej chcą) z niego korzystać.

  8. Vis 2024.03.26 08:15 | # | Reply

    W sumie to ile czasu podmioty medyczne mogą przetwarzać dane po usłudze? Do 2019 to jest aż 8 lat!

    • Krzysiek 2024.03.26 10:55 | # |

      Podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat, a firma MEDILY będąc procesorem nie skasowała danych pacjentów, choć powinna była to zrobić po zakończeniu współpracy w 2021r.

  9. Wyciek danych pacjentów DCG Centrum Medyczne - Proste to RODO w medycynie w oświacie w firmie 2024.03.26 08:41 | # | Reply

    […] danych pacjentów DCG Centrum Medyczne Sp. z o.o.  Jak podał portal niebezpiecznik.pl pacjenci jednego z wrocławskich podmiotów medycznych, otrzymali SMS z informacjami dotyczącymi […]

  10. JohnMarkII 2024.03.26 09:18 | # | Reply

    Na stronie DCG pojawił się pełniejszy komunikat, w tym informacja, o złożonym zawiadomieniu o podejrzeniu popełnienia przestępstwa w Komisariacie Policji Wrocław Śródmieście za nr sprawy JED-46010/24

  11. erwin 2024.03.26 11:07 | # | Reply

    Moglibyście bardziej się przyłożyć:
    “jak wysokie wg IOD jest ryzyko nieuprawnionego użycia danych?”
    IOD nie ma nic do tego. Może mieć jakieś zdanie na ten temat ale oceny ryzyka dokonuje administrator danych a nie IOD.

    “Nie wiemy, czy wysyłka tej wiadomości to własna inwencja DCG Centrum Medyczne, czy nakaz ze strony UODO. ”
    I to jest kluczowe. Są możliwe 2 scenariusze:
    1)Jeśli DGC zakończyło współpracę z Medify i na koniec Medify miało usunąć dane – DGC tego wymagalo, ale nie usunęlo, to DGC nie ponosi odpowiedzialności za incydent i samo nie rozumie RODO (nie oni powinni wogole informować)

    2) jeśli DGC zakończyło współpracę z Medify i na koniec pominęło temat/ nie przypilnowali Medify aby usunęli to będą odpowiadać razem z Medify.
    Polecam lekturę art. 28.10 i art 82 RODO.

    • WkurzonyBialyMis90210 2024.03.29 03:32 | # |

      @erwin
      Nie do konca. Nawet w pierwszym przypadku – nawet gdyby kazali usunac dane to nie oznacza, ze firma powinna je dostac w pierwszym miejscu. Wyobraz sobie sytuacje w ktorej firma X udostepnia dane pacjentow podwykonawcy “JanuszekHakerSpodDworca: Obrot Danymi Pacjentow” a po zakonczeniu wspolpracy dzieja sie dwie rzeczy:
      1. Firma X kaze usunac podwykonawcy dane pacjentow.
      2. Podwykonawca je sprzedaje.
      Ktos moglby powiedziec, ze podejmujac wspolprace z tym akurat podwykonawca godzili sie z bardzo prawdopodobna mozliwoscia ze dane zostana sprzedane. Zakladam ze sa jakies prawa tego typu sytuacji dotyczacej.

      Natomiast co do sutuacji w ktorej firma przetrzymuje/posiada dane do ktorych nie jest uprawniona i ktos je ukradnie i udostepni – wydaje mi sie ze calkiem logicznym bedzie traktowanie tego jako przestepstwa do ktorego doszlo przy ich wspolpracy a potem ewentualnie mozna sie doszukiwac okolicznosci lagodzacych.
      W innym przypadku mamy absurdy gdzie moze dojsc do do przestepstwa np. rabunku ktorego nie popelnil nikt, bo przestepcy tak sie nim podzielili ze zaden z nich nie robil technicznie nic nielegalnego…

  12. Daks 2024.03.26 11:14 | # | Reply

    co teraz, sms i co ?
    dane już poszły, pesel zastrzeżony czy nie nie daje ochrony,
    czekac na inf o chwilówce? tylko skąd skoro nie wszystkie para banki pobierają zapytania z BIGów .. dramat

    • Karolaa 2024.03.26 21:34 | # |

      Wiadomo skąd, od komornika. Ewentualnie, jeśli adres aktualny to z sądu z pozwem…

  13. Joanna 2024.03.26 12:24 | # | Reply

    A ja się zastanawiam co się działo przez 5 dni. Z informacji DCG “nie ma potrzeby zgłaszania
    incydentu na policję, zgłoszenia wycieku danych dokonał prezes spółki Medily sp. z o. o. z
    siedzibą w Łodzi w dniu 20.03.2024 roku na Komisariat Policji Wrocław Śródmieście (nr
    sprawy JED-46010/24)”. Wynika z tego, że info o wycieku było dużo wcześniej niż przekazano najbardziej zainteresowanym czyli poszkodowanym. Prośba o zabezpieczenie PESEL po 6 dniach (i co najmniej 5 od powzięcia informacji) to kpina.

    • Zbyszek 2024.04.04 11:18 | # |

      Pa tera

  14. Adam 2024.03.26 13:13 | # | Reply

    W jaki sposób można podać niepoprawne nazwisko? Przecież każda wizyta jest weryfikowana dokumentem.

  15. nata 2024.03.26 16:29 | # | Reply

    Uważam że dalej należy wszystko cyfryzować i objąć takim obowiązkiem jeszcze większą ilość danych, z genomiką włącznie.

    Dla śmiechu zapiszcie sobie gdzieś info o tych wyciekach z placówek medycznych i jak już uodo dowali karę to sprawdźcie ile z tego ma zwykły śmieć peselak którego “dobra zostały naruszone”.

    • Carol 2024.03.26 21:16 | # |

      Tak w przepisach, jak i wpraktyce ochrony danych jest wiele absurdów – dlatego troszkę rozumiem tę ironię. Ale tylko trochę.

      Imię, cześć, prywatność, życie seksualne, zdrowie i inne informacje – to są dobra, które muszą być przez prawo chronione, i to o wiele bardziej niż dzisiaj. Absurdy obecnej ochrony danych wynikają z tego, że jest ona za słaba i niekonsekwentna.

      Nazywanie ludzi – którzy mają imię, cześć, prywatność, itd. – “śmieciami peselakami” jest niezwykle smutne. Ale trochę też zrozumiałe w kontekście samego faktu nadawania ludziom niezmienialnych i unikalnych numerów takich jak PESEL. Powstał on zresztą w celu inwigilacji całego narodu.

      Dlatego czas najwyższy, żeby wdrożyć podstawową zasadę ochrony danych: nie zbierać. Nie unifikować. Nie tworzyć centralnych baz. Dane niezwłocznie usuwać, gdy przestają być niezbędne.

      No i śmierdzący relikt PRL-u, jakimi są adresy zameldowania i PESEL-e, należy w końcu zlikwidować, zniszczyć i spalić. To, że w państwach niepostkomunistycznych też takowe są, nie może być żadnym usprawiedliwieniem.

  16. Kradzież danych osobowych pacjentów DCG Centrum Medyczne - Zdrowe Dane 2024.03.26 21:05 | # | Reply

    […] można przeczytać w artykule Niebezpiecznika, w przypadku DCG Centrum Medyczne jest to wynik nieprawidłowego skonfigurowania wysyłki. Jest to […]

  17. Sylwia 2024.03.26 21:10 | # | Reply

    Niepoważna firma. Istnieją (wg informacji jakie przesyłają) od 2001 roku. Zaś w rejestrze przedsiębiorców widać gołym okiem ze podmiot powstał w roku 2018. Na jakiej więc podstawie prawnej uzyskali dane wrażliwe pacjentów korzystających z usług innych placówek w poprzednich latach? Czyli innych podmiotów? Śmierdzi sprzedażą danych osobowych na kilometr. Nigdy nie byłam o firmowana, ani też nie wyrażałam zgody na przekazywanie moich danych nowemu podmiotowi przez placówkę na Krynickiej z której usług korzystałam ostatni raz w 2012 roku. Tymczasem nagle dostaje wiadomość SMS o wycieku moich danych z DCG. Niepoważni! Sami się zaorali tymi komunikatami o tym, jak to istnieją od 2001 roku. Nie istnieją! Wystarczy sprawdzić rejest przedsiębiorców.. I oni myślą że badający sprawę wycieku nie połapią się że mają dane wrażliwe osób, których nie powinno w ogóle być w ich bazie danych?

    • Stefan 2024.03.27 10:19 | # |

      Dokładnie! dojebać im kare odpowiednią, musi być przestroga dla innych firm, żeby przestali olewać ochrone danych pacjentów.

    • Q. 2024.03.27 12:42 | # |

      W rejestrze przedsiębiorców widać, ze podmiot o którym piszesz, że powstał w 2018 roku – czyli spółka z o.o., powstał w wyniku przekształcenia z jednoosobowej działalności, która istnieje od 1990 roku (a firma czy marka mogła istnieć od 2001 roku). A skoro powstał w wyniku przekształcenia, to cała “firma” przeszła na niego – łącznie z twoimi danymi. Tu nie było handlu.

  18. Leszek 2024.03.26 23:14 | # | Reply

    Pracując z wieloma przychodniami zawsze odradzałem systemy bazujące na chmurze i przechowujące dane na infrastrukturze producenta dostępne przez https. Jeżeli musiał być dostęp z wielu lokalizacji to wymogiem zawsze powinno być połączenie do dedykowanego serwera znajdującego się za vpnem. To takie minimum. W przypadku Sas pojawia się też problem co zrobić z danymi które mi usimy przechowywać 20 lat lub nawet o wiele dłużej jak rozwiążemy umowe

  19. Karol 2024.03.27 08:50 | # | Reply

    Rzućcie okiem na to co pisze gazeta[.]pl o wycieku. Że zalecają zmianę nr pesel xD

  20. Stefan 2024.03.27 10:18 | # | Reply

    q…wa… oni się czują poszkodowani!!!!!!!!!!!!! a kto przekazał WSZYSTKIE dane do melity? pan pani? czy oni?

  21. Michał 2024.03.27 11:09 | # | Reply

    W przypadku takiego wycieku, Medily mogłoby chociaż zapewnić np. opłacenie alertów BIK. Przynajmniej w jakiś sposób pomogłoby to ochronić poszkodowanych i zadośćuczyniło im biorąc pod uwagę skalę wycieku i to, że dane były trzymane bez zgody i po zaprzestaniu współpracy z DCG.

  22. » Wykradzione dane medyczne pacjentów z Wrocławia wciąż można pobrać z internetu -- Niebezpiecznik.pl -- 2024.03.27 12:40 | # | Reply

    […] poniedziałek informowaliśmy o włamaniu na serwery firmy Medily, która różnym klinikom dostarcza oprogramowanie Aurero do zarządzania rejestracją. W wyniku […]

  23. Angelika 2024.03.27 14:53 | # | Reply

    Ja mam inne pytanie, czy wyciek tych danych ma znaczenie dla osoby, która wyszła za mąż zmieniła nazwisko, wyprowadziła się do innego województwa? Teoretycznie na tamte dane chyba nie można zaciągnąć pożyczki czy kredytu?

  24. X 2024.03.27 21:06 | # | Reply

    Proszę aby ktoś z branży mnie naprostował ale:
    – czy sam fakt, że dane wrażliwe leżą sobie w formie otwartej na środowisku testowym dostawcy systemu nie oznacza, że jest gruby problem? Czy pacjent wyraża zgodę, na to aby jego dane były przetwarzane przez firmę trzecią nie dla wykonania usługi medycznej czy zapewnienia zgodności z regulacjami prawnymi ale dla wygody firmy trzeciej, która się bawi na środowisku testowym danymi wrażliwymi?
    – w jakim celu wogóle Medily posiadał te dane na środowisku testowym i czyje to było środowisko testowe? Medily testowało tam nowe wersje systemu czy DCG miało umowę z Medily na utrzymywanie środowiska testowego na potrzeby DCG i wtedy powinni sami wyjaśnić co tam robiły dane klientów, które wg mnie w formie otwartej nie powinny się tam wogóle znajdować

  25. Kamila 2024.03.27 23:00 | # | Reply

    Też uczestniczę w tej farsie. Dziś logowano się na moja skrzynkę mailową z Mexyku, Arabii Saudyjskiej. Czy zgłosić to na policję? 2 dni temu wyciekły dane z kliniki A dziś 6 losowań innych urządzeń na moja skrzynkę

    • X 2024.03.28 13:38 | # |

      Dlaczego nie masz logowania 2-etapowego?
      Uchroniłoby Cię przed logowaniem przez inne osoby.

  26. » Jak wykradziono dane 180 000 pacjentów z serwerów firmy Medily? -- Niebezpiecznik.pl -- 2024.03.28 12:00 | # | Reply

    […] poniedziałek jako pierwsi informowaliśmy o wycieku danych pacjentów wrocławskiej kliniki DCG Centrum Medyczne. Wskazaliśmy, że źródłem tego wycieku były serwery firmy Medily, która dostarcza […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: