9:25
12/6/2023

Wiele razy pisaliśmy, że dane publicznie dostępne nie mogą służyć jako element logowania do serwisu, w którym przetwarzane są dane osobowe. Niestety takie wpadki ciągle się zdarzają, a ostatnio błąd tego typu popełniła go Krajowa Izba Diagnostów Laboratoryjnych.

W Niebezpieczniku nie raz pisaliśmy o tym, że dane osobowe nie mogą służyć za dane uwierzytelniające. Takie problemy pojawiały się m.in. w kontekście dostępu pacjentów do badań laboratoryjnych, w firmie ubezpieczeniowej, która zabezpieczała dostęp do pliku PESELem klienta, podczas wyrabiania karty SIM na podstawie PESELu. Wspominaliśmy też o GUSie, który za dane wystarczająco tajne uznał PESEL i nazwisko panieńskie matki. Z jakiegoś powodu ten problem użycia PESEL-u jako hasła ciągle wraca i często występuje w kontekście danych o zdrowiu.

KIDL i logowanie po publicznie dostępnych danych

Diagnosta laboratoryjny to zawód zaufania publicznego. W związku z tym pewne dane osób wykonujących ten zawód są dostępne w publicznych rejestrach, a sami diagności muszą spełniać dodatkowe obowiązki ustawowe. To nie problem, ale…

Pod koniec maja Krajowa Izba Diagnostów Laboratoryjnych (KIDL) poinformowała o obowiązkowej aktualizacji danych diagnostów wynikającej z przepisów ustawy o medycynie laboratoryjnej. W związku z tym udostępniono “narzędzie teleinformatyczne” do aktualizacji danych — portal pod adresem portal.kidl.org.pl.

Po uruchomieniu portalu napisało do nas kilka osób. Wszystkie donosiły, że do założenia konta w imieniu dowolnego diagnosty wystarczały tylko dwie dane:

  • numer Prawa Wykonywania Zawodu Diagnosty Laboratoryjnego (PWZDL)
  • PESEL

Pierwszy numer jest po prostu publicznie dostępny, a jeśli chodzi o PESEL, to jest on łatwo dostępny. Zwłaszcza w przypadku osób np. zasiadających w organach spółek i organizacji pozarządowych (widoczność w KRS). PESEL można też zdobyć na kilka innych sposobów, nie tylko przez księgi wieczyste.

Na marginesie — o wielu technikach ustalania danych dotyczących osób (nie tylko PESELu) a także firm opowiadamy na naszym jednodniowym szkoleniu lub 26 godzinnym, pogłębionym kursie internetowym z OSINT-u. Z naszej wiedzy, technik i narzędzi korzystają setki osób, które zarabiaja na życie wyszukiwaniem danych: analityków i pracowników działów antyfraudowych, rekruterów i sourcerów, prawników, komorników, detektywów. Mamy też zamkniętą grupę, w której nawet po szkoleniu dzielimy się nowościami z tej tematyki.

Jeśli potrzebujesz ustalać informacje na temat osób i firm, nasze szkolenie z pewnością opłaci Ci pracodawca — mamy nawet gotowy zestaw argumentów dla szefa. Napisz do nas na szkolenia@niebezpiecznik.pl, to Ci go podeślemy lub od razu zarejestruj się tutaj.

Dlatego właśnie nigdy nie powinno dochodzić do sytuacji, w której PESEL pełni rolę danej uwierzytelniającej. Zawsze ktoś oprócz posiadacza będzie go znał (małżonek, pracownik, pracodawca etc.) i nie da się go zmienić, jeśli poznają go “niewłaściwe” osoby.

Dodatkowy smaczek…

Jeśli już mowa o numerze PWZDL to dodamy w tym miejscu kolejny smaczek. Spróbujcie wejść na stronę kidl.org.pl/diagnostic/search. Mamy tan wyszukiwarkę diagnostów:

W chwili publikowania tego tekstu do pola “Nr PWZDL” można wpisać dowolne rzeczy. W efekcie zobaczymy dane wszystkich diagnostów. Może nie jest to jakiś błąd, ale interesujące znalezisko.

Filtry na górze strony jak najbardziej działają. Przyznamy, że nie znaliśmy wcześniej tego sposobu przeszukiwania rejestru diagnostów.

KIDL zaczęła sprzątać

Wróćmy do logowania na konto diagnosty po publicznie dostępnych danych: numerze PWZDL i PESELu. Diagności sami wyczuli problem i zaczęli podnosić alarm.

Niektórzy pisali do nas i potwierdzali, że osoba która uzyska nieautoryzowany dostęp do ich konta (bo wyszuka ich numer w rejestrze i zna ich PESEL) będzie mogła podejrzeć ich dodatkowe dane osobowe. Według ogłoszenia KIDL proces aktualizacji danych w systemie miał obejmować następujący zakres:

  1. imię i nazwisko diagnosty,
  2. PESEL,
  3. obywatelstwo,
  4. adres zamieszkania,
  5. numer telefonu,
  6. adres poczty elektronicznej,
  7. numer dokumentu PWZDL,
  8. informacje o specjalizacji,
  9. Informacje o zatrudnieniu (datę zatrudnienia,stanowisko, miejsce wykonywania zawodu),
  10. informacje o obowiązku doskonalenia zawodowego.

Nie wiemy czy te dane mogły być ujawnione osobom postronnym (a jeśli tak, to w jakiej skali). Tylko KIDL może ze swojej strony dokonać analiz, które odpowiedzą na pytanie czy były jakieś podejrzane logowania w “pierwotnej wersji systemu”. Wiemy za to, że technicznie taka możliwość faktycznie istniała przez pewien czas.

Skierowaliśmy w tej sprawie pytania do KIDL, a Izba zareagowała. Jeden z naszych czytelników odnotował, że…

…ktoś tam w nocy poszedł po rozum do głowy i wyłączył najbardziej krytyczną zakładkę – Moje Dane, a był tam m.in. adres. URL kończył się na diagPersonalData – na szczęście nie jest już dostępny nawet dla zalogowanego użytkownika. To jednak nie w tym był problem że są były dane dostępne po zalogowaniu, a w braku weryfikacji, kto zakłada konto. To nadal można zrobić, wysyłać wnioski, przeglądać dokumenty w systemie, o ile jakieś są.

KIDL chyba jednak zrozumiała, że samo wyłączenie zakładki Moje Dane problemu nie rozwiązuje i nie poprzestała na ukryciu danych użytkownika. Dodano kolejny etap weryfikacji, jakim jest prośba o podanie części numeru indywidualnego konta diagnosty do wpłaty składek. Wspomina o tym m.in. instrukcja na stronie Izby, która też przyznaje, że nie było tej weryfikacji w “pierwotnej wersji systemu”.

zrzut ekranowy z instrukcji

Dodatkowy etap weryfikacji wygląda tak:

Czy to optymalne rozwiązanie? Nie wiemy jak dokładnie skonstruowane są numery subkont bankowych diagnostów, ale zgadujemy, że wielu z nich może mieć podobne pierwsze cztery cyfry numeru — w końcu numery kont bankowych kodują w sobie pewne stałe wartości. Innymi słowy, obawiamy się, że dość szybko i łatwo będzie można “sprawdzić”/”odgadnąć” poprawną wartość. A może nie? Wciąż czekamy na odpowiedzi od Izby dotyczące tego tematu…

Co na to Izba?

Nie wiemy. W ubiegłym tygodniu skierowaliśmy do Izby pytania w tej sprawie i ciągle czekamy na odpowiedzi. Gdy tylko je otrzymamy, tekst zostanie zaktualizowany.

W tej sytuacji zastanawia nas jedno, na ile KIDL jest (była) świadoma popełnienia błędu i czy potraktuje go jako incydent ochrony danych osobowych? Czy dokonane będą jakieś analizy odnośnie nieautoryzowanego dostępu do danych? Oczywiście Izba musiała zrozumieć błąd skoro dokonała poprawek, ale jakie działania jeszcze podejmie? I czy obecne zabezpieczenie z kawałkiem numeru subkonta diagnosty jest wystarczająco silne?

Aktualizacja 12.06.2023 11:47

Czytelnicy zwrócili nam uwagę, że jednym z powodów działania KIDL mógł być pośpiech. I rzeczywiście. Ustawa z dnia 15 września 2022 r. o medycynie laboratoryjnej weszła w życie 10 grudnia ubiegłego roku. Na mocy tej ustawy dotychczasowa lista diagnostów laboratoryjnych stała się rejestrem diagnostów. Art. 160 ustawy mówi, że w terminie 6 miesięcy od dnia wejścia ustawy w życie diagności wpisani na listę są obowiązani do przedstawienia danych wymaganych do wpisu do rejestru pod rygorem utraty prawa wykonywania zawodu diagnosty laboratoryjnego. Portal do aktualizacji danych został udostępniony dosłownie na ostatnią chwilę (KIDL poinformowała o tym 7 czerwca).

Aktualizacja 14.06.2023 11:24

Krajowa Izba Diagnostów Laboratoryjnych potraktowała problem poważnie i zapowiada przeanalizowanie problemu pod kątem ewentualnych nadużyć. Pewnych analiz już dokonano, do sprawy został zaangażowany Inspektor Ochrony Danych, dostawca platformy oraz kancelaria obsługująca KIDL. Tyle jeśli chodzi o bezpieczeństwo danych, natomiast co do samego procesu aktualizacji to istotny jest fakt, że dane przekazane przez diagnostów laboratoryjnych będą indywidualnie wprowadzane do systemu i weryfikowane przez upoważnionych pracowników. Poniżej pełna treść odpowiedzi przesłana do naszej redakcji przez Sekretarza Krajowej Rady Diagnostów Laboratoryjnych Mateusza Chmielarza.

NBZP: Czy uruchomieniu portalu do aktualizacji danych towarzyszyła jakaś analiza ryzyka? Czy w projektowaniu tego procesu brała udział jakaś osoba odpowiedzialna za ochronę danych?

MCh: Tak, Krajowa Izba Diagnostów Laboratoryjnych dokonywała oceny sposobu logowania do portalu diagnostów laboratoryjnych. Sam wybór sposobu logowania był przedmiotem naszych analiz. Przed udostępnieniem aplikacji prowadzone były konsultacje dotyczące przyjętego sposobu logowania oraz zastosowanych środków bezpieczeństwa, uwzględniające w szczególności funkcje, które spełniać ma portal, liczbę użytkowników portalu, efektywność funkcjonowania portalu z punktu widzenia Izby oraz z punktu widzenia diagnostów laboratoryjnych.

NBZP: Czy w opinii Izby tak przeprowadzony proces aktualizacji danych jest bezpieczny?

MCh: Nie mam wątpliwości, że sam proces aktualizacji danych jest bezpieczny, bowiem dane po ich przekazaniu przez diagnostów laboratoryjnych będą indywidualnie wprowadzane do systemu, a tym samym weryfikowane przez upoważnionych pracowników. Podkreślić należy, iż dane przesłane przez Portal będą weryfikowane w taki sam sposób jak dane przesłane drogą tradycyjną lub za
pośrednictwem e-mail. Nie stwierdzono na razie na żadnym etapie, by doszło do zdarzeń, które można byłoby uznać za niebezpieczne lub niezgodne z prawem. Nie stwierdzono, aby doszło do nieuprawnionej rejestracji do aplikacji – Portalu Diagnostów Laboratoryjnych. Nie zidentyfikowaliśmy również prób przejęć kont.

NBZP: Czy jeśli KIDL zdecyduje się przyznać, że jednak był to błąd to zostanie to potraktowane jako incydent ochrony danych i zgłoszone do UODO?

MCh: Krajowa Izba Diagnostów Laboratoryjnych niezwłocznie po zidentyfikowaniu wątpliwości wyłączyła możliwość wglądu do danych osobowych w zakładce Moje dane do czasu wprowadzenia dodatkowych zabezpieczeń. Podjęte przez Izbę działania wykluczyły ryzyko nieuprawnionego zapoznania się z jakimikolwiek danymi za pośrednictwem portalu. Aktualnie przeprowadzana jest także ocena sytuacji przy udziale Inspektora Ochrony Danych Osobowych. Podejmowane są wszelkie konieczne działania zmierzające do wyjaśnienia sprawy. W proces ten zaangażowany jest Inspektor Ochrony Danych Osobowych, wykonawca platformy, kancelaria obsługująca Krajową Izbę oraz Zarząd Krajowej Izby Diagnostów Laboratoryjnych.

NBZP: Czy KIDL zamierza poprawić proces tak, aby osoby całkowicie postronne nie mogły zakładać konta na publicznie dostępne dane?

MCh: Izba podjęła już niezbędne działania obniżające poziom ryzyka, poprzez wdrożenie dodatkowych mechanizmów bezpieczeństwa, m.in. takich jak dodanie dodatkowych pól uwierzytelniających dla aktualnych i nowych użytkowników, anonimizację danych bezpośrednio na platformie, wzmocnienie zarządzania nieudanymi logowaniami. Pierwsze zmiany systemu wdrożono niezwłocznie 7 czerwca 2023 r. Niezależnie od powyższego sytuacja będzie w dalszym ciągu analizowana w celu wyjaśnienia wszelkich ewentualnych wątpliwości. Zapewnienie odpowiedniego poziomu bezpieczeństwa danych diagnostów jest dla nas priorytetowym zadaniem. Niestety, nawet mimo wszelkiej staranności wdrożenie tak dużych platform obarczone jest ryzykiem, które staramy się minimalizować na każdym etapie.

Przeczytaj także:

20 komentarzy

Dodaj komentarz
  1. Pierwsze 2 cyfry subkonta to suma kontrolna NRB/IBAN od “01” do “97” (nr konta nie może zaczynać się od cyfr “00”, “98” ani “99”). Jeżeli KIDL posiada sunkonta w jednym banku to pozostałe 2 cyfry będą stałe bo są to zarazem pierwsze 2 cyfry identyfikatora banku. Także wystarczy brute force na max. 97 zapytań! :)

  2. Na obligacjeskarbowe.pl jako login też zmuszają używać pesela.

  3. Numer pesel nie powinien być daną uwierzytelniającą… Każdy się z tym zgodzi. Ale później ktoś zada pytanie, co taką daną może być. I w wielu przypadkach okazuje się, że nie mamy innej, rozsądnej danej :(

    • Np. jest profil zaufany (i oczywiście nazwisko panieńskie matki).

    • Dowód osobisty z warstwą elektroniczną. W sumie najprostsze rozwiązanie.

  4. BIK i Bank Millennium też używają PESEL-u podczas logowania, ale tylko jako drugi składnik.

    • Na szczęście w Millennium można zmienić ten drugi składnik na własny, dowolny numer

  5. PZ poza administracją publiczną raczej nie zadziała.
    Jeżeli miałoby to być nazwisko panieńskie matki, to już lepiej zostańmy przy nr pesel :)

  6. Przecież te cyfry są przewidywalne dość a przynajmniej łatwo bruteforcowalne…

  7. Ja to się zastanawiam jaka firma programistyczna wystawia taki bubel … jak przychodzi klient i mówi – “autoryzacje zrobimy przez PWZDL i PESEL”, to każdy programista powinien powiedzieć od razu: “chyba Was poje*****” …

    • Ta firma programistyczna nazywa się RODO.
      Od początku było wiadomo że RODO to jedna wielka luka bezpieczeństwa, bo wymaga użycia słabszych zabezpieczeń niż były do tej pory stosowane (np. hasał w miejscach gdzie używano kluczy asynchronicznych) a do tego wymaga aby użytkownik (i każdy kto się pod niego podszyje) miał dostęp do wszystkich przechowywanych o nim danych.

      A druga taka firma to “student stażysta sp. z.o.o”.
      Bo niestety ale większość państwowych systemów informatycznych pisana jest przez studentów. Dla rzadu programista zarabiający 3000zł / mies to już za drogo.

    • @HubertNNN Bez względu na to, czym miałyby być klucze asynchroniczne, to i tak mijasz się z prawdą.

  8. email też jest daną osobowa, a jakoś prawie wszędzie używany. Dane osobowe jak najbardziej mogą być danymi używanymi do logowania, ale należy to robić w rozsądny sposób. W przypadku gdy do logowania chce się używać tylko prywatnych danych, to wystarczy do tego klucz sesji a nie żadne human friendly login i hasło.

    • Jest różnica między loginem a hasłem.
      `login` musi być unikalny i łatwo identyfikujący użytkownika, stąd email jest jednym z najlepszych możliwych do uzyskania loginów. Co więcej login jest często informacją publiczną.
      `hasło` natomiast pełni rolę ogranicznika dostępu i musi być czymś do czego dostęp ma tylko konkretny użytkownik, ale za to nie ma żadnych ograniczeń.

  9. diagnosta laboratoryjny NIE JEST ZAWODEM ZAUFANIA PUBLICZNEGO!!!! niby na jakiej podstawie miałby być?

    • Poczytaj tutaj https://pl.m.wikipedia.org/wiki/Zaw%C3%B3d_zaufania_publicznego

    • Jako Diagnosta Laboratoryjny z kilkuletnim stażem pracy mogę powiedzieć, że jest to zawód zaufania publicznego (i z doświadczenia i z wpisu na listę). Przy poborze krwi przez diagnostę, technika, pielęgniarkę czy lekarza, musisz zaufać, że dany wynik będzie wiarygodny i odzwierciedlący aktualny stan biologiczny Twojego organizmu. Staramy się, aby aparaty były skontrolowane, odczynniki skalibrowane i nie doszło do błędów przed-, po- laboratoryjnych oraz analitycznych. Staramy się aby materiał nie stał ileś tam godzin w cieple “na słońcu”, tylko aby szybko była wykonana analiza, pytamy pacjenta o historię choroby, aby dowiedzieć się czego można by było się spodziewać, aby nie dzwonić do pacjenta z hemoglobiną 8 g/l gdy ma rozpoznaną anemię. Nie będę pisać więcej, ale wyobraź sobie, że dostajesz cudze badania laboratoryjne z własnymi danymi i będziesz bulił prywatnie u lekarzy za chorobę, której nigdy nie miałeś. :)
      Błąd takiego kalibru diagnosta naprawi, inne zawody … niekoniecznie.
      Może i strajki diagnostów są małe i niezauważalne. Może i jesteśmy widzeni jako jakiś tam ktoś co tylko pije kawę, bo pracę “maszyna sama zrobi”. Ale na zepsutym aparacie to i Salomon badania nie zrobi, a jak Laboratorium nie działa, bo jest strajk włoski to cały Szpital się pali :)

  10. Nie bardzo rozumiem dlaczego PZ nie mógłby robić za autoryzację do tworzenia kont / logowania w takich systemach.
    Tzn w sumie to rozumiem że trzeba by się razem spiąć a każdy sobie robi po swojemu, ale z drugiej strony gdyby tylko PZ wystawiło taką możliwość oraz potem dodawało domeny, serwisy jakie mogą z tego korzystać to chyba było by z korzyścią dla każdego.

  11. Zgadzam się, że stosowanie PESEL jako hasła jest bardzo złym pomysłem, ale Prezes UODO tak nie uważa, wręcz przeciwnie: nie widzi żadnego w tym problemu. Złożyłem skargę w tej sprawie (dotyczyło PESEL’u jako hasła w korespondencji od banku) i otrzymałem decyzję, że nie mam się o co gorączkować.

  12. […] “uPacjenta.pl”. Sami diagnosci zresztą, jako grupa zawodowa, też mieli ostatnio problemy z ochroną danych. Polskie firmy z branży medycznej miewają różne wpadki, ale ten wyciek może być jednym z […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: