15:25
26/4/2024

[AKTUALIZACJA] Wycieki danych z centrów medycznych All-Med w Łodzi i Nowa 5 w Gorzowie. To ciągle jedna historia

Autor: Marcin Maj | Tagi:  

Pacjenci z centrów medycznych All-Med i Nowa 5 dowiadują się własnie, że ich dane wyciekły. To kolejne skutki wcześniejszego wycieku z Medily. Co ciekawe, powiadomienia mogły otrzymać także osoby, które w tych placówkach nigdy się nie leczyły.

Przed weekendem ruszyło informowanie o wycieku z centrum medycznego All-Med w Łodzi. Niektórzy pacjenci dostają powiadomienia SMS-em, inni e-mailem. Oficjalny komunikat o wycieku znalazł się na stronie www.all-med.pl/npdo i wynika z niego, że:

  1. źródłem wycieku jest spółka Medily sp. z o.o. (dostawca oprogramowania medycznego do umawiania i obsługi wizyt lekarskich);
  2. incydent dotyczył jedynie danych z okresu “do końca 2019 roku” (rozumiemy, że od wtedy do mniej więcej teraz);
  3. wycieknąć mogły: PESELe, nazwiska, daty urodzenia, adresy, numery telefonów i dane zdrowotne;
  4. poufność danych dokumentów (takich jak dowody osobiste czy paszporty) nie została naruszona.

All-Med zaleca zastrzeżenie numeru PESEL i zachowanie szczególnej ostrożności przy odbieraniu maili i SMS-ów. Ta druga porada jest słuszna, ale sądząc po postach w social mediach samo powiadomienie o wycieku nie wydaje się ofiarom bardzo wiarygodne.

Tymczasem pacjenci centrum medycznego Nowa 5 z Gorzowa Wielkopolskiego otrzymują SMS-y takie jak poniższy.

Link w SMS-ach prowadzi do komunikatu, który mówi o podobnym zakresie wycieku: imiona, PESEL-e, daty urodzenia, adresy, telefony, dane logowania i dane zdrowotne. CM Nowa 5 nie informuje z jakiego okresu czasowego mogą pochodzić dane ujawnione w wycieku.

To nie są nowe wycieki

Redakcja Niebezpiecznika już 4 kwietnia zwróciła się do All-Medu w Łodzi z pytaniami, czy dane jego pacjentów przypadkiem nie wyciekły. All-Med nam nie odpowiedział. Zakładaliśmy jednak, że prędzej czy później temat wróci bo według naszych informacji dane pacjentów All-Medu znajdowały się w ostatnim wycieku z firmy Medily, który początkowo został nagłośniony jako wyciek z DCG Centrum Medyczne. Wyjaśnijmy więc, że “tamten” wyciek z DCG i “ten” wyciek z All-Med i Nowa 5 to różne odsłony tej samej historii, w której centrum jest zaatakowana przez przestępców firma Medily.

Przypomnijmy, że:

  1. już w marcu DCG Centrum Medyczne poinformowało, że doszło do wycieku z Medily, a dane pacjentów pojawiły się na forum dla przestępców. Można było mieć zastrzeżenia co do sposobu informowania o incydencie, ale generalnie nikt nie chował głowy w piasek i bardzo dobrze.
  2. Opisywaliśmy jaki charakter miały dane z wycieku. Były to pliki SQL Dump o łącznej objętości 4,9 GB. Trzeba jednak przyznać, że część danych miała charakter ewidentnie testowy no i nie były to dane tak ładnie poukładane i tak przejrzyste jak te z wycieku z ALAB.
  3. Do włamania mogło dojść w pierwszej połowie marca. Możliwe, że hasło do serwera bazodanowego znajdowało w publicznie dostępnym kodzie jednej ze stron internetowych Medily (zob. Jak wykradziono dane 180 000 pacjentów z serwerów firmy Medily?).

Ja się tam nie leczyłem!

W sprawie jest jeszcze jeden ciekawy wątek.

Zgłosiły się do nas osoby, które stanowczo twierdzą, że nie leczyły się w All-Medzie w Łodzi, a jednak otrzymały powiadomienie o wycieku ich danych. Jedna z tych osób zauważyła, że spółki Medily oraz All-Med są powiązane.  Prezesem All-Med jest Marcin Ogórek, który jednocześnie jest wspólnikiem w Medily. To mogłoby prowadzić do wniosku, że dane przypadkowych pacjentów trafiły do All-Medu. Od razu napiszemy, że niekoniecznie musiało tak być.

Spytaliśmy o te przypadki Patryka Ogórka, CEO i założyciela Aurero (wcześniej Medily).

Jednoznacznie zaprzeczamy by dane pacjentów nigdy nie korzystających z usług All-Med zostały im (tj. All-Medowi – red.) przekazane. Obserwujemy to zdarzenie w wielu placówkach i nasze analizy wskazują jednoznacznie na błąd ludzki – literówki numerów telefonu podczas wpisywania danych do systemu medycznego. Nasze procedury zabezpieczają przed wystąpieniem takich sytuacji. Dane między naszymi klientami są odizolowane – oświadczył Patryk Ogórek.

Rzeczywiście literówki w takich danych jak adresy e-mail i telefony po prostu się zdarzają (w przychodniach zwłaszcza). Bywa, że szczególnie często dotyczy to adresów w poczcie Gmail, w których znajdują się kropki. I tutaj drobna uwaga co do Gmaila. Osoby posiadające konta w tej usłudze oraz używające adresów z kropkami nierzadko zgłaszają, że zdarza im się otrzymywać korespondencję innych osób, wysłaną pierwotnie na adres bez kropek. Bardzo dobrze wiemy, że w Gmailu kropki mogą być wstawione w dowolnym miejscu adresu w celu utworzenia aliasu z innym rozłożeniem kropek (czyli adres jan.kowalski@ będzie traktowany tak samo jak j.an.kow.alski@). W wielu przypadkach otrzymywanie cudzej poczty wynika po prostu z podania przez kogoś adresu z błędem. Z drugiej strony  na forach internetowych opisywane są problemy związane z funkcjonowaniem dwóch różnych kont na Gmailu różniących się jedynie kropką. W roku 2022 serwis dobreprogramy.pl wspominał, że istnieje pewna liczba kont Gmail, które funkcjonują jako różne konta i różnią się jedynie kropką (szkoda, że dobreprogramy nie podaje źródła tej informacji). Dodamy, że pytaliśmy już Google o ten problem, ale ta firma odpowiada na pytania tylko czasami, niezależnie od tego jak poważnej sprawy dotyczą (por. Wpadka Google: Twoje prywatne filmy mogły trafić na konta innych użytkowników (nawet 2 lata temu).

Nie skupiajmy się jednak na Gmailu, bo nie w tym rzecz. Jeśli dostaliście niespodziewaną informację o wycieku to prawdopodobnie był to efekt omyłkowego podania adresu e-mail przy rejestracji przez inną osobę. Może to dotyczyć również pacjentów firmy Nowa 5. Jeśli jesteście w takiej sytuacji, warto skontaktować się z Inspektorem Ochrony Danych wskazanym w komunikacie przychodni, która powiadomiła was o wycieku. My również będziemy przyglądać się sprawie i damy wam znać jeśli będą podstawy sądzić, że wyciek mógł objąć osoby nieleczące się nigdy w All-Med.

Jeśli Wy macie jakieś ciekawe informacje ze swojej strony to zapraszamy do kontaktu.

Co robić? Jak żyć?

Jak pisaliśmy wcześniej, dobrym pomysłem będzie:

  1. zastrzeżenie numeru PESEL;
  2. zwiększenie czujności na kontakty telefoniczne/e-mailowe, które mogą mieć na celu wyłudzenie od Was dodatkowych danych w związku z tym incydentem. Pamiętajcie, że oszuści mogą być bardzo wiarygodni, skoro posiadają Wasze dane kontaktowe a być może nawet i historię choroby;
  3. zaprzestanie korzystania z numeru telefonu i e-maila, który został podany klinice, jeśli nie chcecie aby dane z tego wycieku pojawiały się komuś w korelacji z innymi wyciekami z przyszłości, dotyczącymi nowych usług z których skorzystacie posługując się tymi sami identyfikatorami kontaktowymi.

Aktualizacja 29.04.2024

Doprecyzowaliśmy akapit dotyczący problemów z kropkami na Gmailu. To ciekawy problem, niemniej nie najważniejszy w kontekście tego wycieku.

Aktualizacja 29.04.2024 12:56

Rozszerzyliśmy tekst o informację, że powiadomienia o wycieku otrzymują również pacjenci centrum Nowa 5.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

18 komentarzy

Dodaj komentarz
  1. Piotr 2024.04.26 21:03 | # | Reply

    “zaprzestanie korzystania z numeru telefonu i e-maila, który został podany klinice, jeśli nie chcecie aby dane z tego wycieku pojawiały się komuś w korelacji z innymi wyciekami z przyszłości, dotyczącymi nowych usług z których skorzystacie posługując się tymi sami identyfikatorami kontaktowymi”.
    Jak można zaprzestać korzystać ze swojego nr telefonu?

    • stukot 2024.04.27 00:55 | # |

      @Piotr

      To nie jest łatwe, ale da się. Kilka numerów telefonu w życiu pożegnałem, pomagałem też ogarnąć to innym. Czasem to dobre wyjście, czasem wręcz jedyne rozsądne, gdy np numer trafił do wielu baz z których korzystają spamerzy, lub przyczepił się do niego stalker. Dobrze jest przygotowywać się na taką ewentualność i np nie związywać wszystkich kupowanych przez siebie usług z pojedynczym numerem, poza tym prowadzić spis, jakie usługi mamy związane z danym numerem.

    • Foo 2024.04.29 14:35 | # |

      Większym problemem jest raczej powiadomienie setek osób, od znajomych po kontrahentów, że mają dzwonić na nowy numer, i przygotowanie się na problemy gdy ktoś pomyłkowo zadzwoni na stary.

    • WkurzonyBialyMis90210 2024.04.29 22:17 | # |

      @stukot
      Piotr ma racje – jesli odpowiedzia na wycieki danych jest to ze poszkodowany ma je sobie smienic, to naturalna konsekwencia bedzie to, ze za niedlugo bedziemy musieli scierac odciski palcow czy chirurgicznie zmieniac glos i rysy twarzy.

      Jesli chcemy mowic o rozwiazaniu to zmiana wlasnych danych nim nie jest – to jest co najwyzej odroczenie/zwloka, sztucznie wywolane parciem na biometryke ale jednak, bo predzej czy pozniej zmienic czegos sie nie bedzie dalo, czyli juz teraz sens jest lichy.

    • stukot 2024.05.01 17:51 | # |

      I co z tego że obaj macie rację, jeżeli Wasza racja jest w dzisiejszym świecie nie do wyegzekwowania?

    • WkurzonyBialyMis90210 2024.05.03 17:02 | # |

      Prawa to nie jest cos co na papierze daje nam to czy inne panstwo – i tez kiedy jedno czy drugie podmiot nam te prawa odbiera nie znaczy ze je tracimy.
      Jeden z glownych powodow dla ktorych komunizm nigdy nie wypalil swoja droga.

      Jesli jestem zmuszony oddac swoja wlasnosc w piecze podmiotu X, a ten podmiot ma jej bezpieczenstwo gdzies bo okryl swoja du* kawalkiem papieru, i z racji braku ochrony maja wiecej kasy dla siebie to jest to w moich oczach wspolodzial.
      Stad rozwiazanie jest proste: identyfikuje winnych od razy (instutucje i ludzi odpowiedzialnych) i gdy padne ofiara przestepstwa to pozwy kieruje do winnych zamiast szukac wiatru w polu. Niekoniecznie nawet o samo udostepnienie…

  2. Pepe 2024.04.26 21:54 | # | Reply

    Czy ktoś mi wytłumaczy czemu użyli takiego idiotycznego linku w tym SMS? Mój tata go dostał i przez postać tego linku, oraz brak możliwości znalezienia wczoraj informacji na stronie all-med wysłaliśmy ten SMS do maski jako podszywanie się.

    • Pepe 2024.04.26 21:55 | # |

      Oczywiście nie do maski tylko do NASKu. Głupi słownik mnie oszukał ;)

    • stukot 2024.04.27 01:01 | # |

      @Pepe

      1. Bardzo dobrze że zgłosiliście i zachowaliście ostrożność. Lepiej na zimne dmuchac niż gorącym się sparzyć.
      2. Użycie tak skróconego linku pozwoliło im zamknąć wiadomość w pojedynczym smsie, który nie jest dzielony. Dzielone smsy powodują czasem dodatkowe kłopoty.
      3. Zgadzam się z Tobą że skróty linków to zło ;-)

    • Anonim 2024.04.27 10:32 | # |

      Może trochę off-topic, ale jakiś czas temu znalazłem aplikację URLCheck na androida, która pozwala rozwinąć taki skrócony url przed otwarciem przeglądarki internetowej. Fajnie działa w praktyce.
      https://f-droid.org/packages/com.trianguloy.urlchecker/

    • Pepe 2024.04.27 19:55 | # |

      @stukot na dodatek zanim zgłosiłem przekopałem stronę all-medu i nie znalazłem oświadczenia, zresztą do teraz nie ma tam linku do niczego w żadnym menu, ani aktualnościach, a jeśli jest, to jest trudno znajdowalne

    • ddc 2024.04.29 14:09 | # |

      Link w sms od oficjalnego podanego w art.http://www.all-med.pl/npdo dzieli 1 znak . Wiec uzycie skracacza było idiotyczne.

    • Rafał 2024.04.30 15:14 | # |

      Link do f-droid i instalowanie aplikacji z plików apk ……………

    • Rafał 2024.04.30 15:15 | # |

      Link do f-droid i instalowanie aplikacji z plików apk …

  3. fisz 2024.04.28 15:30 | # | Reply

    “Na długo przed tym wyciekiem znaliśmy sytuacje, w której posiadacze poczty na Gmailu otrzymywali korespondencje różnych osób i miało to związek właśnie z tym, jak Gmail traktuje kropki.”
    Ale co ma do tego jak Gmail traktuje kropki? To że ludzie dostają cudze maile to tylko i wyłącznie wina tego że nadawca się myli w adresie. Jak ktoś kto ma maila nazwisko.imie@gmail.com pomyli się i poda maila imie.nazwisko@gmail.com, to dostanie tego maila inna osoba, i nie ma żadnego znaczenia że Gmail traktuje adres imie.nazwisko@gmail.com tak samo jak imienazwisko@gmail.com (a także i.m.i.e.n.a.z.w.i.s.k.o@gmail.com). Dokładnie tak samo kto inny dostałby maila gdyby to była poczta na Onecie.

  4. JJ 2024.04.29 13:01 | # | Reply

    Zwrócę uwagę na bardzo istotną kwestię: IOD w All Med oraz Prezesem Zarządu w Medily jest TA SAMA OSOBA tj. Patryk Ogórek. Nieporozumieniem jest zatem informowanie pacjentów o naruszeniu ponad MIESIĄC po tym jak do niego doszło. SKANDAL to mało powiedziane. Mam nadzieję, że UODO tego nie zostawi, bo taka ZWŁOKA jest jawnym działaniem na szkodę osób, których dane (PESEL!) wisiały w internecie,a oni o tym nie wiedzieli.

  5. stukot 2024.05.01 17:50 | # | Reply

    I co z tego że obaj macie rację, jeżeli Wasza racja jest w dzisiejszym świecie nie do wyegzekwowania?

  6. tech 2024.05.06 09:32 | # | Reply

    Jakos ta sytuacja mnie nie zaskakuje..

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: