Niebezpiecznik

W poniedziałek informowaliśmy o włamaniu na serwery firmy Medily, która różnym klinikom dostarcza oprogramowanie Aurero do zarządzania rejestracją. W wyniku tego ataku wykradziono dane pacjentów z kliniki “DCG Centrum Medyczne“, których spółka Medily nie miała prawa już przetwarzać od 2021 roku (ale ich nie skasowała i trzymała na swoim serwerze).

Jak ustaliliśmy, wbrew temu co komunikowały obie firmy, dane pacjentów wcale nie zostały skasowane z internetu. Wciąż można je pobrać. Ale to nie koniec złych wiadomości…

Z firmy Medily wykradziono dane należące także do pacjentów innych klinik niż DCG Centrum Medyczne!

Wedle naszych informacji, na razie tylko klinika DCG Centrum Medyczne zdecydowała się na powiadomienie swoich pacjentów o kradzieży ich danych osobowych i medycznych. I chwała im za to.

Co jest w wykradzionej bazie?

Rozmawialiśmy z informatorem, który widział dane pochodzące z kradzieży. Były to pliki SQL Dump o łącznej objętości 4,9 GB. Największy z nich dump-HyggioSit-202403111802.sql ważył ponad 3,2 GB.

W plikach znajdowały się m.in. logi aktywności użytkowników, a w nich:

– Imiona, nazwiska
– PESEL-e i daty urodzenia
– Adresy
– Numery telefonów
– Adresy IP (zapewne wyłącznie lekarzy)
– Dane o rezerwacjach wizyt,
– Informacje o lekarzu
– Opisy badań
– Przepisane leki
– Dane o logowaniu do systemu
– Dane o opłaceniu rezerwacji, identyfikatory i inne “robocze” dane

Co może być pewnym szczęściem w nieszczęściu, nie u wszystkich pacjentów dane były kompletne. Co więcej, część danych faktycznie miała charakter wyraźnie testowy (np. numery telefonów w rodzaju “123456” albo adresy e-mail w rodzaju “test@znanauslugapoczty.com”). W plikach, które widział nasz informator, było też sporo danych nie będących danymi osobowymi, np. bazy schorzeń, wykaz zdarzeń w systemie, wyniki badań klinicznych bez danych osobowych.

Zmiana w komunikacji

Na sposób komunikacji incydentu poszkodowanym narzekaliśmy już w poniedziałek. Klinika DCG pacjentów zdecydowała się poinformować długim SMS-em. Z tego powodu, jego wysyłka następowała w częściach (o czym poszkodowani nie wiedzieli i po otrzymaniu pierwszej z wiadomości, która nie wyjaśniała szczegółów incydentu, wpadali w niepokój. Tym większy, że kolejne 3 SMS-y do niektórych osób docierały dopiero po długich godzinach, a na stronie kliniki nie było żadnych informacji o wycieku.

Co jednak istotniejsze, w wiadomościach SMS nie podano pełnego zakresu wykradzionych danych. Nie wspomniano o najboleśniejszym dla niektórych elemencie wycieku: dokumentacji medycznej (informacjach o wizytach, ich datach, danych lekarza i jego specjalizacji, danych o stanie zdrowia, receptach i skierowaniach). DCG co prawda szybko wyciągnęła wnioski z niefortunnego sposobu komunikacji i na stronie internetowej umieściła stale aktualizowaną sekcję dotyczącą incydentu. I za taką postawę klinikę należy pochwalić. Klinika zapowiedziała też, że niebawem uruchomi specjalną stronę, na której będzie można sprawdzić, czy ktoś znajduje się w wycieku i z jakim kompletem danych. Wg DCG, dane medyczne są obecne tylko dla 0,002% pacjentów.

Poszkodowani są pacjenci z lat 2001 do 2019 roku

Klinika poinformowała, że SMSy wysłała do osób, których numery telefonów znajdowały się w zbiorze wykradzionych danych. Wielu z naszych Czytelników, którzy otrzymali SMS-a, napisało nam, że nie przypominają sobie wizyty w tej klinice lub w ogóle są z innego miasta. Czy ich dane wyciekły? Jest kilka możliwości:

• Tak, wyciekły, nawet jeśli osoby te nie korzystały z usług DCG. Wcześniej DCG nazywało się “Dolnośląskie Centrum Ginekologii i Zdrowia Rodziny” a jeszcze wcześniej “MARIMAR“. Jeśli dostaliście SMS od DCG, a korzystaliście z usług tych dwóch podmiotów, to Medily miało wasze dane.
• Nie, nie wyciekły. Jeśli z numeru telefonu, na który otrzymali powiadomienie korzystali od daty późniejszej niż 2001 rok, to jest możliwe, że wcześniej korzystał z niego ktoś, kto był pacjentem wymienionych powyżej klinik i ten numer podał podczas wizyty.
• Nie, nie wyciekły. Numer telefonu jest wprowadzany ręcznie, ktoś mógł podać swój numer ABC-DEF-GHI, a pracownik kliniki do kartoteki wprowadził numer ABC-DEE-GHI, należący do Was. Pomyłki się zdarzają i biorąc pod uwagę liczbę poszkodowanych, takich pomyłek na pewno trochę jest w tym zbiorze.

Podkreślmy jeszcze raz, że choć klinika DCG Centrum Medyczne współpracowała z Medily w okresie od 15.08.2019 do 31.01.2021, to z opublikowanych informacji wynika, iż przekazała Medily dane wszystkich swoich pacjentów, także tych, którzy odwiedzali DCG przed 15.08.2019, czyli momentem nawiązania współpracy z Medily (Medily najprawdopodobniej po prostu zaimportowało bazę z poprzedniego oprogramowania do zarządzania kliniką, z którego korzystało DCG). Medily informuje, że wyciekły dane do 2019 roku, a więc należy założyć, że w wycieku mogą być wszyscy, którzy kiedykolwiek odwiedzili klinikę DCG i jej poprzednie “marki”/lokalizacje, tj. MARIMAR i Dolnośląskie Centrum Ginekologii i Zdrowia Rodziny, przed 31.12.2019r.

Dostałem SMS, czy dostanę odszkodowanie?

Na Facebooku pojawiła się już grupa poszkodowanych pacjentów do której dołączyło już 300 osób. Zastanawiają się tam, czy czy należy im się jakieś odszkodowanie. Zapytaliśmy o to dra Pawła Litwińskiego z kancelarii Barta Litwiński:

Moim zdaniem przesłana (przez DCG do poszkodowanych — dop. red.) wiadomość została tak sformułowana, że wywołuje strach u jej odbiorców (bezpodstawne przechowywanie, kradzież, atak). A na dzisiaj orzecznictwo TS UE dotyczące zadośćuczynienia za naruszenie ochrony danych osobowych jest bardzo jednoznaczne (wyrok w spr. C-687/21):

”(…) z brzmieniem art. 82 ust. 1 RODO, jak i z celem polegającym na ochronie realizowanym przez to rozporządzenie zgodne jest to, iż pojęcie „szkody niemajątkowej” obejmuje sytuację, gdy osoba, której dane dotyczą, ma uzasadnioną obawę – czego sprawdzenie należy do sądu krajowego rozpatrującego sprawę – że niektóre jej dane osobowe zostaną w przyszłości rozpowszechnione lub wykorzystywane w sposób stanowiący nadużycie przez strony trzecie, ze względu na fakt, iż dokument zawierający wspomniane dane został przekazany nieupoważnionej stronie trzeciej, która miała możliwość sporządzenia jego kopii przed jego zwróceniem.”

W mojej ocenie ta wiadomość tworzy właśnie uzasadnioną obawę, a więc daje prawo do ubiegania się o zadośćuczynienie – pytanie tylko, od kogo: DCG zdaje się twierdzić, że nie od niego i taki też moim zdaniem jest główny cel tej wiadomości: odsunąć roszczenia od siebie; problem w tym, że nie wskazuje tego, kto powinien być adresatem roszczeń. Obawiam się więc, że – wbrew swojej woli – efekt może być taki, że roszczenia będą kierowane do DCG, bo przecież (art. 82 ust. 4 RODO), jeżeli w tym samym przetwarzaniu uczestniczy zarówno administrator jak i podmiot przetwarzający, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

Na razie jednak grupowicze relacjonują swoje spotkania z policją, na którą się udali aby zgłosić “możliwość popełnienia przestępstwa”. Przekazują sobie, niestety niewłaściwe w tym przypadku porady policjantów, aby wymienić sobie dowód osobisty. Tego robić nie musicie. Ale na pewno dobrym pomysłem będzie:

1. Zastrzeżenie numeru PESEL, choć pełna ochrona z tego tytułu obowiązywać będzie dopiero za kilka miesięcy, należy PESEL zastrzec już teraz.
2. Zwiększenie czujności na kontakty telefoniczne/e-mailowe, które mogą mieć na celu wyłudzenie od Was dodatkowych danych w związku z tym incydentem. Pamiętajcie, że oszuści mogą być bardzo wiarygodni, skoro posiadają Wasze dane kontaktowe, a być może nawet i historię choroby w niektórych przypadkach. Wasze dane wciąż są dostępne do pobrania i to na forum, które skupia zawodowych oszustów.
3. Potraktowanie numeru telefonu, e-maila i innych podanych klinice DCG danych jako “spalone”. Jeśli możecie, przestańcie się nimi posługiwać. Tak, wiemy, z PESEL-em i adresem będzie ciężko, ale numer telefonu i e-mail możecie sobie zmienić. I warto to zrobić. Dlaczego? Bo jeśli w przyszłości Wasze dane wyciekną z innego miejsca (a gwarantujemy, że wyciekną) to ktoś je złączy z Wami właśnie po identyfikatorze typu e-mail czy nr telefonu.

Jeśli jakkolwiek Wasza prywatność jest dla Was istotna, Waszym celem powinno być utrudnianie takiej korelacji. Teraz ktoś wie, że np. byliście u ginekologa, ale niekoniecznie musi mieć Wasz poprawny adres, znać miejsce pracy, albo to z jakiego banku korzystacie. A po kolejnych wyciekach, może różne informacje na Wasz temat złączyć i łatwiej Was zaatakować lub obedrzeć z prywatności.

Zapoznajcie się też z nagraniem naszego krótkiego szkolenia, pt. “Co robić po wycieku danych?“.

W szczegółach omawiamy w nim różne usługi oraz narzędzia (zarówno te darmowe jak i płatne) pod kątem tego czy warto w ogóle z nich skorzystać, aby zminimalizować negatywne skutki wycieku Waszych danych. Z tego materiału dowiecie się też jak namierzyć, jakie Wasze dane już (od dawna) latają po internecie i jak poprawnie przygotować się na kolejne wycieki danych, które na pewno będą miały miejsce niezależnie od Waszych działań a na skutek błędów różnych firm.

Z kodem DCG otrzymacie 40% zniżki na dostęp do tego tego szkolenia. Kod ważny jest tylko do końca dnia, ale bez obaw, dostęp do nagrania macie na 30 dni, więc spokojnie zdążycie się z nim zapoznać. Oto link wprost do koszyka.