Rozmowy pacjentów z lekarzami mogły być podsłuchiwane. Wpadka prywatnej przychodni
Wizyty w przychodni kojarzą nam się z ciągłymi kolejkami. Technologia kontakt z lekarzem jednak usprawnia i niektóre prywatne przychodnie pozwalają rozmawiać z doktorem przez internet. Niestety to rodzi nowe problemy, co pokazał przykład strony internetowej LuxMedu.
LuxMed pozwala na swojej stronie internetowej rozmawiać z lekarzem za pośrednictwem czatu. Sęk w tym, że rozmowy pacjentów niemal każdy mógł podsłuchać - wystarczyło wykorzystać lukę.
“Wystarczyło uruchomić oczekiwanie na połączenie, aby móc zobaczyć dane przesyłane przez innych pacjentów. Choć komunikacja z serwerem czatu odbywała się za pomocą protokołu HTTPS, to każdy użytkownik czatu mógł podsłuchać ją na swoim komputerze, przeprowadzając atak typu MiTM za pomocą lokalnego zaufanego certyfikatu, np. używając narzędzia Fiddler” - opisuje problem serwis Zaufana Trzecia Strona.
W praktyce oznacza to, że użytkownicy czatu mogli przechwycić dane osobowe pacjentów i lekarzy, a także treść ich rozmów. Nie trzeba chyba dodawać, że to bardzo prywatne informacje, które nie powinny wypłynąć.
Na szczęście mało prawdopodobny jest wyciek danych - uspokaja Zaufana Trzecia Strona. “Nadmiarowe komunikaty były dostępne tylko dla zalogowanych użytkowników, a aby je zauważyć i odczytać, trzeba było podsłuchiwać ruch przeglądarki, co znacząco ogranicza ryzyko, że ktoś ten incydent odkrył w trakcie jego trwania i wykorzystał do swoich celów, nie informując o odkryciu LuxMedu” - czytamy na stronie.
“Przyczyną nieprawidłowości była występująca od ostatniej aktualizacji (27.10.2017) błędna konfiguracja mechanizmu rozdzielającego wybrane typy komunikatów pomiędzy kanałami prywatnym oraz systemowym w ramach zestawionego połączenia pomiędzy przeglądarką a serwerem komunikacyjnym usługi eChat” - tłumaczył się LuxMed.
W tym przypadku ryzyko wycieku poufnych danych jest niewielkie, ale jak widać taka możliwość była. To niestety druga strona medalu przejścia służby zdrowia na nowoczesność.
Przypomnijmy, że w czerwcu tego roku wyciekły wrażliwe dane 50 tys. pacjentów polskiego szpitala. Z kolei na Litwie szantażowani byli pacjenci prywatnej kliniki zajmującej się operacjami plastycznymi. Informacje na temat usług, z których skorzystali, przejęli hakerzy.
