Egy kukából kihalászott számítógépről kerültek elő több ezer magyar páciens érzékeny egészségügyi adatai

Legfontosabb

2021. február 26. – 09:11

frissítve

Egy kukából kihalászott számítógépről kerültek elő több ezer magyar páciens érzékeny egészségügyi adatai
Fotó: Kiberblog

Másolás

Vágólapra másolva

Több mint háromezer magyar páciens érzékeny személyes és egészségügyi adatait sikerült kibányászni egy számítógépről, amely korábban egy rendelőben működött, majd egy szeméttelepen végezte – derül ki a Kiberblog bejegyzéséből.

A kutatók – Kocsis Tamás, a Kiberblog szerzője és Solymos Ákos, a Quadron szakértője – nem puszta szórakozásból turkálnak szeméttelepek konténereiben. A kidobott vagy használtan eladott adathordozók, laptopok, mobiltelefonok adatainak vizsgálatával arra a problémára igyekeznek felhívni a figyelmet, hogy az ilyen eszközöktől a tulajdonosuk gyakran anélkül válik meg, hogy szakszerűen, visszaállíthatatlanul letakarítaná róla az adatokat. Márpedig enélkül bárki, aki egy kicsit is ért az ilyesmihez, könnyedén visszaállíthatja ezeket az adatokat, és ha az illető nem biztonsági kutató, könnyen vissza is élhet velük.

A most megvizsgált eszközhöz úgy jutottak hozzá a kutatók, hogy Solymos Ákos egy felderítőútján kiszúrta egy hulladékgyűjtő konténerben, majd miután az egyébként elég ramaty állapotú gép merevlemezeit még menthetőnek ítélte, egy sörért megvásárolta a konténer őrzőjétől. Ezért az egy sörért aztán több ezer ember egészségügyi adataihoz nyert hozzáférést – az ilyesmiért az erre szakosodott fórumokon jóval többet is el szokás kérni.

A két kutató ezután lemezképet készített a lemezekről, majd az Autopsy nevű ingyenes szoftverrel átvizsgálták annak tartalmát. Mint kiderült, a gép szebb napjain egy magyar nagyváros orvosi rendelőjében működött, és az akkoriban begyűjtött adatokat a szeméttelepen is megőrizte. (Ők természetesen a vizsgálat végén mindent megsemmisítettek.)

Bármi könnyedén hozzáférhető

Az 1991 és 2015 közötti időszakból származó fájlok között voltak dokumentumok, levelek, tájékoztatók és vizsgálati eredmények is. A lemezen található emailfiókból több mint 9500 emailcímet sikerült kinyerni. A levelezés teljesen hozzáférhető volt, minden csatolmánnyal együtt.

A gépen két orvosi program futott, az Orvosi Recept Kitöltő Alkalmazás (ORKA) és az OEP Vényíró. Az ORKA adatbázisa jelszóval volt védve, de még csak a feltörésével sem kellett bajlódni, mert a jelszó magából az adatbázisból kinyerhető volt egy egyszerű kereséssel. Magának a receptíró programnak a jelszavát is könnyedén vissza lehetett volna fejteni, de még erre sem feltétlenül lett volna szükség, mert mint kiderült, a nem éppen kitalálhatatlan 123456 karaktersor volt hivatott távol tartani az illetékteleneket.

Magában az adatbázisban 3256 páciens tajszáma, születési adata, anyja neve, lakcíme, felírt gyógyszerei, ellátási adatai szerepeltek.

A másik program adatbázisa is könnyedén megadta magát, ennél egyébként az alapértelmezett jelszót hagyták meg mint legfőbb védelmi vonalat.

Felül egy cytológiai vizsgálat eredménye, alul egy nőgyógyászati vizsgálati státusz – Kép: Kiberblog
Felül egy cytológiai vizsgálat eredménye, alul egy nőgyógyászati vizsgálati státusz – Kép: Kiberblog

Súlyos gondatlanság

Az ilyen adatok a célzottabb reklámok küldésétől egészen a zsarolásig változatos visszaélési formákra adnak lehetőséget. De mindez nemcsak a páciensekre nézve – lehetett volna – kellemetlen, hanem az egészségügyi szolgáltatóra nézve is, hiszen az ilyen felelőtlen adatkezelést már a 2018-tól használt GDPR előtti adatvédelmi törvények sem díjazták, az egészségügyi adatok pedig olyan érzékenyek, hogy ezek védelméről az egészségügyi törvény is külön rendelkezik.

Érdekesség, hogy a gépen találtak több száz olyan dokumentumot is, amely egy bírósági végrehajtóhoz tartoztak, illetve a 4728 képből és 314 videóból sok magánfelvétel, például családi kép volt. Ez már önmagában is adatkezelési aggályokat vet fel.

Akit érdekelnek a részletek is, a blogposztban azt is elolvashatja, milyen módszereket használtak a kutatók, illetve hogyan lehet visszaállíthatatlanul megsemmisíteni az adatokat egy leselejtezett adathordozón, mielőtt az a kuka helyett illetéktelen kezekben végzi.

Kedvenceink
Partnereinktől
Kövess minket Facebookon is!