14:02
8/1/2021

Jeden z Czytelników zgłosił nam dziurę, na jaką natknął się w serwisie Telemedi.co, służącym do “wygodnych konsultacji z lekarzami przez czat, video lub telefon“. Serwis prowadzony przez firmę Telmedicin jest popularny i obsługuje klientów PZU i Allianz oraz wielu innych firm ubezpieczeniowych. Wskutek błędu możliwe było poznanie danych osobowych pacjentów oraz zapoznanie się z treścią ich rozmów z lekarzami, które często dotyczą historii chorób i przyjmowanych leków.

Nasz Czytelnik zauważył, że serwis internetowy Telemedi.com “sypie błędami”, z których można było wyczytać nazwy endpointów.

Jeden z nich listował historię rozmów, wraz z numerem rozmówcy i UUID-em:

Z kolei UUID, według naszego Czytelnika, można było wykorzystać do odpytania kolejnego endpointa, który umożliwiał pobieranie nagrań rozmów:

Reakcja firmy

…była natychmiastowa i należą się za nią brawa. Nikt niczego nie ignorował jak w innych tego typu przypadkach. Tuż po zgłoszeniu otrzymaliśmy odpowiedź od prezesa, że firma analizuje sprawę, a chwilę potem endpointy przestały odpowiadać. Później firma informowała nas o swoich działaniach i o 13:30 otrzymaliśmy następujące oświadczenie:

W dniu 8.01.2020 (piątek) [chodziło raczej o 2021 rok — dop. red.] o 10.10 otrzymaliśmy pierwsze zgłoszenie dotyczące błędu w jednym z podsystemów, odpowiedzialnym za usługę VoiP. Błąd naprawiliśmy niezwłocznie, o godzinie 10.46. Podatność dotyczyła jednego z podsystemów VoIP, który wykorzystywaliśmy w przypadku części pacjentów z Polski. Możliwy był losowy dostęp do identyfikatora konsultacji, z możliwością poznania numeru telefonu oraz pobrania nagrania audio, jeśli takie istniało. Dostęp do innych informacji na temat pacjenta oraz konsultacji nie był możliwy. Incydent nie objął głównego systemu. Dane pacjentów i dokumentacja medyczna są bezpieczne. Podsystem, w którym wykryliśmy lukę został wyłączony, do momentu wykonania dodatkowych testów bezpieczeństwa.
Regularnie przeprowadzamy audyty bezpieczeństwa z firmami zewnętrznymi. Ostatnie testy bezpieczeństwa wykonane 30.11.2020 nie wykazały podatności w tym zakresie. Niezwłocznie zleciliśmy wykonanie kolejnych testów bezpieczeństwa. Do czasu ich przeprowadzania, wspomniany podsystem zostaje wyłączony. Nie ma to wpływu na ciągłość obsługi klientów. Przeprowadziliśmy analizę logów związanych z niestandardowym ruchem we wspomnianym podsystemie, skala incydentu może dotyczyć maksymalnie 29 konsultacji z 100 tysięcy realizowanych przez Telemedico miesięcznie. Kontaktujemy się z klientami B2B, których mogła dotyczyć podatność. Z każdym z pacjentów, którzy mogli zostać dotknięci incydentem, będziemy się kontaktować indywidualnie.
Paweł Sieczkiewicz
Prezes Zarządu

Ponieważ z naszych informacji wynika, że prezentowanych UUID było zdecydowanie więcej niż 29 i osoba, która regularnie odpytywała endpoint mogła pobierać stale pobierać dane kolejnych pacjentów, poprosiliśmy firmę o doprecyzowanie, jak ustalono że problem dotyczy tylko 29 osób. Kiedy otrzymamy tę odpowiedź, zaktualizujemy artykuł. Domyślamy się, że 29 osób to te, dla których logi wskazały pobranie nagrań, a nie te, których numery telefonów i UUID ujawniono. Dobrze, że Czytelnik, który odkrył błąd wykazał się etycznym podejściem.


Aktualizacja 8.01.2021, 14:38 Oto dodatkowe wyjaśnienia co do tego, jak określono liczbę 29 pacjentów, których nagrania zostały pobrane:

Przeanalizowaliśmy odwołania do wspomnianej usługi z IP, które są nam nieznane i zawęziliśmy listę konsultacji, do których próbowano się odwoływać (hashami) w kontekście dostępu do nagrań. Jesteśmy ciągle w trakcie analizy listy wewnętrznych numerów IP i odfiltrowujemy kolejne rekordy, które nie były odwoływane z zewnątrz.

Na plus należy zaliczyć również wykonywanie przez firmę testów bezpieczeństwa. Takie działania minimalizują, ale nie zawsze eliminują ryzyko (to zresztą temat na osobny artykuł, albo nawet kilka). O tym też trzeba pamiętać. Dziś zaatakowany może być każdy, i duży i mały — i mocny i słaby technicznie. Warto i trzeba robić wszystko by ograniczać ryzyko incydentu, ale każda odpowiedzialna firma powinna założyć, że kiedyś wyciek danych im się przytrafi. Albo szantaż. To co wtedy firmę zdefiniuje, to sposób reakcji na incydent. A ten nie zawsze jest poprawny. O tym na co warto z punktu firmy (członków zarządu, działów IT, prawnych i PR) zwrócić uwagę mówiliśmy tutaj.

Korzystałem z teleporady, co robić, jak żyć?

Nie wiemy kto poza naszym Czytelnikiem mógł uzyskać dostęp do nagrań rozmów z pacjentami. I z jakiego okresu. Ten incydent to jednak kolejne przypomnienie, że nie ma co liczyć na prywatność rozmów przez telefon. Firmy standardowo nagrywają rozmowy z klientami z różnych powodów, ale jak pokazuje praktyka, dostęp do tych nagrań mogą mieć nie tylko “wybrani pracownicy” a cały internet. I trzeba być tego świadomym.

W miarę możliwości, dla własnego bezpieczeństwa, warto minimalizować przekazywane telefonicznie informacje.

  • Do wykonania połączenia można skorzystać z osobnego, niepowiązanego z nami numeru telefonu (aby po wycieku uniknąć powiązania nagrania naszej rozmowy z lekarzem z zakupami w sklepie Morele lub szeregiem innych baz danych, które wyciekły z firm z usług których korzystaliśmy).
  • W trakcie rozmowy można nie identyfikować się w pełni. Lepiej użyć numeru klienta lub innych identyfikatorów, po których rozmówca “wyciągnie” sobie naszą teczkę ze swojego systemu teleinformatycznego. Może to być np. data ostatniej wizyty i nazwisko lekarza. Na marginesie, odbierając receptę w aptece też nie trzeba recytować swojego PESEL-u, można go pokazać na ekranie telefonu aptekarce.

 

Podsumowując, w dzisiejszym świecie trzeba się pilnować na każdym kroku, aby podawać jak najmniej danych, bo to co podamy prawie zawsze trafi w jakąś bazę elektroniczną, której bezpieczeństwa nikt nie zagwarantuje. Wycieki się zdarzają regularnie, na skutek niekompetencji, ataków, czy celowego działania pracowników. Twoje dane też już pewnie wyciekły (i to nie raz!).

Dla niektórych być może ujawnienie informacji na temat schorzeń nie stanowi żadnego problemu, ale problem w tym, że najczęściej takie wykradzione bazy danych wykorzystuje się do kradzieży tożsamości i zaciągania zobowiązań finansowych w imieniu ofiary. Znamy setki takich przypadków, a ochrona przed kradzieżą tożsamości nie jest łatwa (mamy na ten temat 60 minutowy webinar pt. “Wycieki Danych” — jak należy się przygotować na wyciek danych, który na pewno wystąpi i co zrobić już teraz, aby przestępcy którzy chcą się posłużyć naszą tożsamością nie mieli zbyt łatwo. Polecamy zapoznanie się z tym nagraniem zanim będzie za późno (tylko dziś po podaniu kodu TELEPORADA wykład można obejrzeć aż o 60% taniej!). Marcin przystępnie wyjaśnia, z jakich usług warto skorzystać, a z jakich nie oraz co i w jakiej kolejności zrobić, jeśli mamy podejrzenie, że nasze dane mogły paść czyimś łupem. A warto myśleć, że już padły).

Trochę czasu minie, zanim wszyscy będą mogli wrócić do spotkań z lekarzami w 4 oczy (chociaż i wtedy jest możliwe, choć mniej prawdopodobne niż podczas telefonu na infolinię, że rozmowa w gabinecie zostanie utrwalona). Zdalny kontakt z lekarzami (zresztą nie tylko z nimi) jest wygodny. Być może doczekamy się czasów, w których specjaliści zaczną korzystać z komunikatorów szyfrujących (E2EE) i będą deklarować brak nagrywania ekranu po swojej stronie. Choć smutna prawda jest taka, że tego nigdy nie będziemy w stanie zweryfikować na odległość…

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. Jestem klientem PZU i w ostatnim czasie korzystałam z teleporady i co teraz…..?

    • No jest napisane o jaką konkretnie stronę chodzi. Jak rozumiem, to musiała być teleporada w ramach jakiegoś pakietu firmy ubezpieczeniowej, a nie po prostu teleporada, więc być może nie ma się czym martwić.

      Ale fajnie gdyby ktoś to opisał w szczegółach.

    • Spoko, z gwiazd wiem że lekarze nie nagrywaja tam rozmow, natomiast kazdy lekarz zawsze ma dane do peselu, danych osobowych. Ryzyko jest zawsze, swoja droga podobno w oszustwach na wnuczka uczestnicza pracownicy banku bo dziwnym trafem ‘policja’czesto wie w jakim banku i ile dokladnie ma taki emeryt na koncie :))))

  2. Czy telemedi.co pochwaliło się przez jaki okres czasu przechowują zapisy rozmów? Mam nadzieję, że nie jest on zbyt długi, np. 7 dni by umożliwić złożenie ewentualnej reklamacji pacjentowi i tyle.

    • A po cholere w ogółe nagrywali? Tajemnica lekarska poszła się … A podobno tylko sąd może z niej zwolnić, a nie telemedico czy przychodnia.
      #COVID-1984.

  3. Ta firma to ciekawa, logowanie do konta pacjenta po nr pesel to tez pomysł prezesa??? Dlaczego nie mają 2 stopniowego uwierzytelniania logowania do konta pacjenta gdzie jest dokumentacja medyczna??? Chyba czas udać się na policję i do prokuratury hy zabezpieczyć siebie przed utrata danych bo nie wiadomo jak to będzie …

  4. Hue. RAILS env jako development na produkcji powoduje takie screeny.
    Ktoś o zmiennej środowiskowej zapomniał xD

  5. Sam fakt nagrywania rozmów jest ohydny. Nie obchodzi mnie że to do dochodzenia roszczeń. Prywatność tu i teraz jest ważniejsza niż hipotetyczne zagrożenie.

  6. Aż strach się bać co ta wirtualna ochrona zdrowia może o nas powiedzieć całemu światu. Doktorze, mój Thunderbird nie działa jak powinien. Mój system uległ zawirusowaniu, bo nie zastosowałem zasady ograniczonego zaufania.

  7. Na stronie widać możliwość konsultacji na nfz, bądź voucher, lub jako klient sieci Plus, PZU Allianz Signal Iduna.. widać duże korpo. Ciekawe czy juz zostali poinformowani o wycieku? UODO i Cert poinformowane? Narodowy fundusz zdrowia tez chyba powinno się informować.. nie pozdrawiam, injakien100tys?

    • Nikt nie ruszy duzej firmy z udzialowcami poza pl.

  8. A ja bym chciał wiedzieć, które firmy stoją za audytami bezpieczeństwa, które nie potrafią znaleźć takich błędów, a pewnie mają 10 certyfikatów security.

    • No niestety są takie firmy, które mają taki model biznesowy, że dają zielone/żółte raporty a testy robią “studenci”. Potem jak się siada do takiej firmy na poważnie i się widzi taki raport to tylko ręce opadają. Ale kolor był ok, poprawki były proste, firma z raportu znana więc klient myśli że wszystko jest OK.

    • Żadne, nikt tam nie wykonywał zadnych audytow, tam jeszcze nie dawno nie wiedzieli co to security, a internet leciał do pracowników przez najzwyklejszy router, większość z nich to studenci, bo warunki łagodnie mówiąc dramatyczne ;) Najważniejszy jest marketing prezesa ;)

  9. Zastanawiam się jak tak duże firmy jak PZU czy alianz nie sprawdziły kto oferuje im usługi, przecież to kuriozalny błąd przez który osoby niepożądane mają dostęp do bardzo wrażliwych danych. Czy ktoś wg. poniesie za to konsekwencje?

    • @Karol

      Zakładasz że umieją sprawdzić.

    • Sprawdzenie tego nie jest w ogóle problemem. Po prostu do takiej współpracy angażujesz własny dział security albo wynajmujesz porządną firmę z branży itsec do wykonania technicznego due-dilligence i retestów po poprawkach. Wystarczy chcieć.

  10. Sprawa nie tylko dotyczy uruchomienia aplikacji Rails w DEV env co już jest kuriozalne, ale można zwrócić uwagę na brak obsługi wyjątków kiedy obiekt nie jest zwracany, co już jest partactwem do 2, bo jak nawet komuś nie chce się tego w każdym miejscu oprogramowywać to można to przecież w ror globalnie załatwić. Masakra, kto to testował, kto odbierał projekt … ?

  11. Pytanie do redakcji? Czy będziecie dalej śledzić losy wycieku z telemedico? Czy firma zgłosiła wyciek do NFZ, Wojewody Mazowieckiego, UODO oraz firm partnerskich jak PZU?

  12. “W trakcie rozmowy można nie identyfikować się w pełni. Lepiej użyć numeru klienta lub innych identyfikatorów, po których rozmówca “wyciągnie” sobie naszą teczkę ze swojego systemu teleinformatycznego. Może to być np. data ostatniej wizyty i nazwisko lekarza”
    Pan szanowny raczy sobie żartować. Telekonsultanci mają jasne wytyczne co do sposobu identyfikacji pacjenta i jest to niemal komplet danych osobowych. Podajesz pesel, potem pytają o imię, nazwisko, miejsce urodzenia. Nie możesz sobie tego wybrać, nie masz co dyskutować. Po prostu nie dostaniesz się do systemu i tyle.

  13. W szczecinie bardzo wiele lekarzy ma wizyty online przez skype czy inne komunikatory. Ja tam takim wizytą na odległość nie ufam – ani lekarz nie skupia się dostatecznie ani pacjent ani to wizyta dokładna a cena taka sama a nie tańsza.

  14. […] w 2021 roku wycieki danych medycznych będą na porządku dziennym. Niedawno pisaliśmy o tym, że można było pobrać nagrania rozmów pacjentów z lekarzami, ujawniliśmy też, jak dostać się do wyników badań na COVID-19 a także informowaliśmy o […]

  15. “Regularnie przeprowadzamy audyty bezpieczeństwa z firmami zewnętrznymi. Ostatnie testy bezpieczeństwa wykonane 30.11.2020 nie wykazały podatności w tym zakresie. Niezwłocznie zleciliśmy wykonanie kolejnych testów bezpieczeństwa. Do czasu ich przeprowadzania, wspomniany podsystem zostaje wyłączony. ”

    Oni w biurze nawet firewall’a nie mają, tylko zwykły router… ciekawe o jakich testach mówi Prezes :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: