Lepiej zastrzeż numer PESEL. Doszło do wycieku danych znanego centrum medycznego
Znane centrum medyczne padło ofiarą hakerów - albo nierozważności partnerów instytucji. Pacjenci otrzymali informacje o wycieku ich danych, wśród których są nie tylko imiona, nazwiska czy PESEL, ale także historie chorób i leczenia.
25 marca DCG Centrum Medyczne poinformowało swoich pacjentów o wycieku danych osobowych. Informacja została rozesłana poprzez wiadomości SMS, jednakże jedynie do osób, których dane przetwarza instytucja.
Według dotychczasowych informacji w ręce cyberprzestępców trafiły informacje o imionach, nazwiskach, numerach PESEL (lub datach urodzenia), płciach, numerach telefonu, adresach email pacjentów i nie tylko. W grze są także dane medyczne.
DCG Centrum Medyczne z ogromnym wyciekiem. Numery PESEL i dane medyczne w rękach cyberprzestępców
O sprawie szerzej informuje Niebezpiecznik. Do redakcji serwisu zaczęły spływać informacje o SMS-ach, z których wynika, że dane pacjentów DCG Centrum Medyczne zostały przechwycone przez "podmiot, któremu powierzono przechowywanie danych (procesor)".
W oświadczeniu DCG Centrum Medyczne wyjaśnia, iż ujawnione dane "pochodzą z archiwalnego środowiska testowego starej wersji systemu Aurero". Aurero to oprogramowanie medyczne dla przychodni i innych instytucji zdrowia, z którego DCG korzystało w latach 2019-2021. Dostawcą oprogramowania było Medily sp. z o. o., które w treści SMS-a opisane jest jako "procesor". Na Medily spoczywała odpowiedzialność za usunięcie danych pacjentów po zakończeniu współpracy, co powinna była zrobić jeszcze w 2021 r. - i to właśnie te nieusunięte dane są przedmiotem wycieku.
Wokół sytuacji stworzył się także chaos informacyjny, bowiem według przekazu Niebezpiecznika DCG ma "niezbyt fachowo skonfigurowaną masową wysyłkę SMS-ów", przez co do pacjentów sukcesywnie spływają cztery różne wiadomości, zawierające informacje o różnych zestawach danych będących przedmiotem cyberprzestępstwa.
Ponieważ treści SMS-ów różnią się pomiędzy sobą, DCG Centrum Medyczne pełny wykaz przechwyconych informacji zawarło we wspomnianym wcześniej oświadczeniu.
Jako Administrator Państwa danych osobowych powierzyliśmy przetwarzanie Państwa danych osobowych firmie Medily sp. z o.o., która była dostawą oprogramowania, z którego korzystaliśmy. Powierzone do przetwarzania zostały dane osobowe: imię i nazwisko, adres zamieszkania, telefon, adres e-mail, nr PESEL, a także informacje zawarte w dokumentacji medycznej.
Choć DCG zastrzega, że "nie ma powodów do obaw", osoby będące pacjentami DCG Centrum Medyczne powinny jak najszybciej zastrzec swój PESEL i być czujne wobec wiadomości i połączeń, jakie mogą przychodzić na ich numery telefonów i adresy email. A to ze względu na próby phishingu i smishingu, które mogą być szczególnie wiarygodne ze względu na pozyskanie dostępu do wrażliwych danych.
Więcej na temat cyberbezpieczeństwa: