10:33
14/7/2020

Jeden z użytkowników Wykopu, trochę się zdziwił, kiedy zamiast jednego skierowania na badanie swojego dziecka, portal pacjent.gov.pl pokazał mu 245 821 cudzych skierowań

Incydent, miejmy nadzieję, finalnie nie okaże się taki straszny na jaki wygląda i raczej na pewno nie będzie tak potężny jak opisywany przez nas kiedyś Wyciek danych pacjentów z wielu szpitali.

Z tego co ustalił odkrywca błędu, serwis pacjent.gov.pl listował wszystkie (?) skierowania tylko na koncie dziecka dla osoby zalogowanej jako rodzic, co ogranicza trochę liczbę osób, które mogły mieć dostęp do cudzych skierowań. Niestety, nie wiadomo, jak długo system pokazywał użytkownikom-rodzicom więcej niż powinien.

Zapytaliśmy wczoraj odkrywcę błędu, czy mógł podejrzeć zawartość treści innego skierowania, ale okazuje się, że KKK1337 tego nie sprawdził, bo tak się przeraził tym co zobaczył, że postanowił sprawę szybko nagłośnić — a nagłośnienie przyniosło spodziewany skutek, moduł skierowań został szybko został zdjęty.

Jeśli ktoś z Was ma dostęp do jakiegoś skierowania, dajcie znać w komentarzach jakie dane są na nim widoczne.

Powód incydentu?

Obstawiamy błąd w SQL, ale to pytanie zadaliśmy Ministerstwu Zdrowia i kiedy otrzymamy odpowiedź, zaktualizujemy ten artykuł.

Trzeba jednak pamiętać, że niezależnie od tego, że coś pojawia się jako wynik w wyszukiwarce skierowań, to niekoniecznie oznacza, że kliknięcie na skierowanie z pozycji użytkownika nieuprzywilejowanego pozwoli mu na zapoznanie się z pełnym rekordem (innymi słowy, to że ktoś zepsuł zapytanie SQL w wyszukiwarce, nie oznacza, że zabrakło ifa weryfikującego uprawnienia w funkcji wyświetlającej skierowanie). Niestety, nie dowiemy się z niezależnego źródła, co widać było po kliknięciu na nie swoje skierowanie.

Widzisz błąd? Zgłaszaj go!

Ta historia jest ciekawa także z kolejnego powodu. KKK1337 przyznał, że postąpił trochę zbyt pochopnie, ujawniając ten problem publicznie przed zgłoszeniem go w odpowiednie miejsce. Rozumiemy przerażenie, bo często różni ludzie, którzy natykają się na takie lub gorsze internetowe anomalie, problem od razu nagłaśniają w znanych im kanałach, np. w serwisach społecznościowych, czy właśnie na Wykopie.

Ale są lepsze miejsca… tylko — nie ma się co dziwić — ciężko jest je odkryć, zwłaszcza osobom nie siedzącym mocno w bezpieczeństwie. Zróbcie eksperyment. Wejdźcie na stronę główną pacjent.gov.pl, włączcie stoper i policzcie ile czasu i ile kliknięć zajmie Wam dojście do adresu csirt@csioz.gov.pl, na który zgłoszenie dotyczące problemów z bezpieczeństwem serwisu pacjent.gov.pl powinno się przesłać.

Danych tych nie znajdziemy w pliku security.txt, który jest proponowanym sposobem na ujednolicenie sposobu znajdowania danych kontaktowych dotyczących bezpieczeństwa.

Gdybyście kiedyś znaleźli się w sytuacji takiej jak KKK1337 i nie mogli znaleźć odpowiedniego kontaktu, piszcie na “sektorowy” CERT, albo dajcie nam znać z chęcią pomożemy, sięgając do prywatnego wizytownika.

Przeczytaj także:



23 komentarzy

Dodaj komentarz
  1. 5 minut i 24 sekundy zanim doszedłem gdzie to zgłosić. A zaznaczam że znałem już adres csirt@csioz.gov.pl i korzystałem z wyszukiwania w przeglądarce…
    Dużo czasu zajmuje teraz zamykanie okienek o cookiesach, zamykanie wyskakujących okienek czatu. Jeszcze brakowało prośby o wyłączenie ADBlocka, prośby o udostępnienie lokalizacji, subskrybcji, RRS i innych pierdół :/

  2. Moze mało ważne ale chcąc zalogować się na moj gov przez bank po wpisaniu logowania do banku wyskakuje aby przepisać kod wysłany sms na telefon.SMS nie dochodzi(numer zagraniczny a operator jest na liście tych którzy wysyłają sms)w moim przypadku Comviq SE czyli Tele2. Jednak po otworzeniu nowej karty i otwarciu choćby zus-u jestem już zalogowany,tak samo na stronie profil zaufany i to mimo nie wpisania kodu. Jakas weryfikacja jest bo wymagany login i hasło do banku i pokazuje zalogowanie za pomocą zewnętrznego dostawczy(czyli banku ING) ale bez podawania kodu z sms. Raczej nie do końca powinno to tak wyglądać. Logowanie w Chrome.Z drugiej strony co to za system co na stronie pisze ze Chrome nie wspiera technologi flex i ze muszę otworzyć Firefox albo iexplorer aby przejrzeć niektóre formularze. Naprawdę?Urzędowa strona/system tak ma działać?Nie powiem bo fajnie ze w końcu Polska ma e-system zamiast chodzić do urzędów z wieloma sprawami ale litości.

    • Potwierdzam wyświetla się popup o kod sms wystarczy w nowej karcie otworzyc strone i viola jesteśmy zalogowani bez wpisywania smsa. (oczywiscie tą samą stronę do logowania a nie stronę z okienkiem do wpisania kodu sms)

    • Ja za to potwierdzam, że implementacja flex w Chrome jest niepełna. Pisząc strony widzę jak czasem się wszystko p…li właśnie o niektóre właściwości flex. Walka z niezaimplementowanymi i źle zaimplementowanymi właściwościami.

      Explorer – kto tego jeszcze używa? Choć IE11 Flex działa lepiej niż ten w Chrome.

      W Firefoxie zachowanie zgodne z normą – czasem tylko dla ::after i ::before potrafi się w flexie coś rozsypać na zasadzie losowej. Jednak obsługa tutaj jest najlepsza z trójki Edge Firefox i Chrome.

  3. security.txt powinno znajdować się w https://pacjent.gov.pl/.well-known/security.txt a nie w roocie strony.

    Tam niestety też go nie ma.

  4. Kolejny pokaz jak świetnie działają w Polsce państwowe “e-usługi”…
    brakuje tylko e-votingu do pełni “szczęścia” :D

    • Nie uprawiaj demagogii. Oczywiście, że już dawno powinniśmy mieć elektroniczne głosowanie. Problemem jest jedynie kwestia jak to dobrze stworzyć. W moim odczuciu, aby mieć PEŁNĄ kontrolę nad swoim głosem musimy pozbyć się anonimowości. Dzięki temu nikt nigdy nie sfałszuje/unieważni Twojego głosu. Mankamentem jest oczywiście… brak anonimowości.

    • W przypadku e-votingu konieczne jest duże zaufanie obywateli do władzy. W Polsce sukcesywnie to zaufanie się obniża i nie są to dobre warunki do wdrożenia takiego rozwiązania. Ponadto przy okazji aplikacji Kwarantana domowa i ProteGo mieliśmy pokaz wątpliwej uczciwości i braku kompetencji (a może celowego działania przeciwko zaleceniom ekspertów). Na marginesie dodam, że pozbycie się tajności głosu wymaga nie tylko zmiany Kodeksu wyborczego, ale całej Konstytucji, więc kolego Arnie, nie ja tutaj uprawiam demagogię

    • „Powinniśmy” bo…? Bo wygląda bardziej cool i modern? Może w sedesie trzeba sobie zamontować czujnik IoT analizujący skład odchodów — to samo uzasadnienie. Nie, nie wszędzie trzeba pakować nową technologię tylko dlatego, że jest taka możliwość. Chyba że możesz wskazać jakieś konkretne, *poważne* wady obecnego systemu.

    • Kolego Arnie:

      Tu nie chodzi o demagogie, przecież nie dyskutujemy tego i nie przeczytaliśmy o tym problemie z Państwowym Systemem – z powodu zorganizowania jakiegoś “Parteitagu” któregoś z ugrupowań i mniej lub bardziej kwiecistych przemówień, ale właśnie na skutek ZAISTNIENIA konkretnego zdarzenia/błedu – do którego dojść w tak ważnym systemie – nie powinno. To nie sytuacja wyimaginowana i hipotetyczna lub nawet potencjalnie tylko możliwa – ale fakt (nie pierwszy zresztą, archiwa Niebezpiecznika służą) który miał miejsce i realnie zagroził/zagraża naszemu bezpieczeństwu. więc jest o czym myśleć i nad czym dyskutować. W końcu nasze dane, tak wrażliwe , jak zdrowotne – są w tym systemie. A chyba wszyscy się ze mną zgodzą – że nikt nie chciałby żeby dane o jego przebytych np. zabiegach operacyjnych czy chorobach – latały sobie po sieci dostępne dla każdego …..

    • Masz na myśli chyba emo-ting / e-moting. Już po woli tworzą bazę niedoszłych samobójców. Spokojnie. Będzie i to XD

    • @mpan Wadami obecnego systemu są m.in. olbrzymie koszty, wygoda (głosowanie za granicą lub poza miejscem zamieszkania), wiarygodność (teoretycznie w komisjach są obserwatorzy i przedstawiciele rożnych opcji politycznych itp., ale mam wątpliwości czy na prawdę w każdym lokalu wyborczym prowadzona jest skrupulatna kontrola podczad liczenia głosów).

      Czy głosowanie internetowe eliminuje te problemy? Wszystko zależy od implementacji. Moim zdaniem warto zacząć nad tym pracę, bo to byłby wieloletni proces.

    • SG:
      > olbrzymie koszty
      Wyborów kosztują zaledwie 100–400mln zł. Zatem nie ma żadnych „olbrzymich kosztów”. Jeśli da się zmniejszyć, to bardzo fajnie, ale trudno uznać to za przesłankę do pójścia w stonę systemu z licznymi wadami. I nie bardzo sobie wyobrażam, gdzie są te istotne oszczędności: automaty do głosowania darmowe nie są.

      > wygoda (głosowanie za granicą lub poza miejscem zamieszkania),
      W jaki sposób podejście do automatu i wybranie na nim opcji ma inny poziom wygody niż podejście do stolika/kabiny i namazanie krzyżyka? Głosowanie na automatach nie wpływa na wygodę głosowania za granicą: chyba że wyobrażasz sobie, że sprzęt będzie transportowany do wszytkich krajów, gdzie można głosować. Ale tego nie robią nawet USA: za granicą głosuje się „papierowo”.

      > wiarygodność
      To jest główny zarzut *przeciwko* głosowaniu na automatach. Standardowe wybory są zrozumiałe dla prawie każdego, są przejrzyste i — w systemie stosowanym w Polsce — wiarygodne. Chyba że ktoś jest podatny na zakażenie teoriami spiskowymi, ale na to głosowanie elektroniczne nie tylko nie pomaga, ale jeszcze pogarsza sytuację. Można co najwyżej poprawić trochę istniejący system, ale też średnio widzę ku temu powód. W Polsce główne problemy z wyborami występują poza procesem zbierania i liczenia głoów.

  5. Skierowanie do szpitala
    Operacja przegrody nosowej

    • Ja na ten zabieg na NFZ czekałem 3 lata :D :D

  6. Stronka platformy ma /admina :)

  7. Kontakt do csirt faktycznie ciężko znaleźć, ale ja bym po prostu napisał na jeden z adresów w zakładce Kontakt.

    • I by Cię olali :)

  8. A ściślej merytorycznie – faktycznie znaleźć ten konkretny adres (i wiedzieć Co się znalazło) jest w serwisie pacjent.gov.pl naprawdę niełatwo. Ale – można też pójść troszkę na skróty – dla dobra sprawy i umożliwić administracji szybką reakcję – i napisać na adres zbiorczy administracji :

    [img]http://markooff.net/pliki/wyciek-blad_na_pacjent.gov.pl_07_2020/2020-07-14_20_48_18-Skontaktuj_się_z_nami___Pacjent.png[/img]

    Chyba potrafią zareagować szybko i przekażą komu trzeba, a może … nie ?

  9. Tego typu błędy nie mogą mieć miejsca, ale się zdarzają. Dlaczego Nowak i Kowalski, który nie jest informatycznie biegły, nie mieć do dyspozycji okienka zgłoś błąd?

  10. Uważam, że gość dobrze zrobił. To są systemy rządowe i nie powinno być tego typu błędów – nagłaśniajcie publicznie, inaczej was oleją i będą mówili, że wszystko jest bezpieczne i będzie propaganda polityczna i zmuszanie do używania tego dziadowstwa. Nagłaśniajcie publicznie, przynajmniej wszyscy będą wiedzieli w czym pływaja.

  11. piszcie na “sektorowy” CERT, – jak ma nie być bałaganu, skoro mamy ministerstwo, CERT, cyber-sikuryty-armię i kiedy widzimy dziurę, to nie wiadomo gdzie ja zglosić. A zgloszenie jest zazwyczaj traktowane jak natrętny pacjent w osiedlowej przychodni.

    • Polecam zgłosić na wykopie. Widać, sposób skuteczny.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: