Słuchaj
Aga Kołodziejska, Tomek Florkiewicz
Konrad Piasecki
Aga Kołodziejska, Tomek Florkiewicz
Marcin Sońta , Mateusz Ptaszyński
Michał Korościel
Justyna Dżbik, Roman Osica
Marcin Wojciechowski
Hubert Radzikowski
Sprawdź co graliśmy

Teraz gramy

Hakerzy mogli wykradać treść konsultacji lekarskich z Luxmedu

14.11.2017 11:38

Treść konsultacji lekarskich online oraz dane osobowe pacjentów Luxmedu stały przed hakerami otworem. Placówka uspokaja, że raczej nie doszło do wycieku.

Hakerzy mogli wykradać treść konsultacji lekarskich z Luxmedu

fot. materiały prasowe

Problem pojawił się 27 października 2017, po zaktualizowaniu strony internetowej Luxmedu. Okazało się, że osoba zalogowana do systemu mogła użyć specjalnych narzędzi do przechwytywania ruchu i zyskać dostęp do 10 prowadzonych poprzez czat na witrynie rozmów.

Atakujący mógł pobrać informacje o imieniu i nazwisku pacjenta oraz treść konsultacji z lekarzem maksymalnie 10 sesji.

Po wykryciu błędu zdezaktywizowano usługę konsultacji online – przywrócono ją po usunięciu luki. Luxmed wydał szczegółowe oświadczenie o incydencie.

- Potwierdzamy, że 07 listopada 2017 r. o godz. 20:15 wykryto problem w komponencie zarządzającym komunikacją chatów tekstowych dostępnych w Portalu Pacjenta.

W jego wyniku uwierzytelniony i zalogowany do konsultacji online użytkownik usługi eChat, korzystający z narzędzia do podsłuchiwania ruchu przeglądarki, miał techniczną możliwość uzyskania dostępu do imienia i nazwiska oraz treści komunikatu maksymalnie 10 aktywnych konsultacji online innych użytkowników.

Zgodnie z posiadaną wiedzą oraz wykonaną analizą, ryzyko naruszenia praw osób trzecich określiliśmy na poziomie niskim, gdyż wykorzystanie istniejącej podatności było możliwe w przypadku jednoczesnego zaistnienia trzech czynników:

a) Uwierzytelnienia II poziomu użytkownika Portalu Pacjenta oraz uruchomienie przez niego usługi eChat
b) Intencji i umiejętności tego użytkownika do podsłuchiwania ruchu w przeglądarce internetowej
c) Aktywnej sesji innego użytkownika usługi eChat.

Niezależnie od powyższego, usługa chatów została wyłączona 08 listopada o godz. 11:30., a odpowiednia korekta konfiguracyjna została wprowadzona w ciągu kilku następnych godzin. Wciąż prowadzone jest wewnętrzne dochodzenie, mające na celu potwierdzenie przyjętej oceny ryzyka.

Przyczyną nieprawidłowości była występująca od ostatniej aktualizacji (27.10.2017) błędna konfiguracja mechanizmu rozdzielającego wybrane typy komunikatów pomiędzy kanałami prywatnym oraz systemowym w ramach zestawionego połączenia pomiędzy przeglądarką a serwerem komunikacyjnym usługi eChat.

Zagłosuj

Korzystasz ze zdalnych konsultacji lekarskich?

RadioZET.pl/MT