Wyciek danych z Internetowego Konta Pacjenta. Twoja dokumentacja medyczna mogła trafić w niepowołane ręce

Pod koniec kwietnia 2025 roku doszło do poważnego naruszenia ochrony danych osobowych w systemie Internetowego Konta Pacjenta (IKP). Jak wynika z oficjalnego komunikatu Ministerstwa Zdrowia, luka umożliwiała użytkownikom IKP nieuprawniony dostęp do elektronicznej dokumentacji medycznej innych pacjentów poprzez prostą zmianę adresu URL w przeglądarce internetowej. W praktyce oznaczało to, że każdy zalogowany użytkownik, edytując odpowiedni fragment adresu strony, mógł pobrać dokumentację medyczną innych osób.

Wyciek danych – jak doszło do naruszenia?

Błąd został wykryty i zgłoszony przez jednego z użytkowników 28 kwietnia 2025 r. Okazało się, że w jednym z repozytoriów danych medycznych, obsługiwanym przez konkretny szpital, nie działał prawidłowo mechanizm weryfikacji uprawnień użytkownika po stronie systemu P1. Standardowo taka weryfikacja powinna uniemożliwić dostęp do cudzych danych, jednak w tym przypadku była ona pomijana. 

Luka pozwoliła na pobranie dokumentacji medycznej co najmniej czterech pacjentów przez osobę zgłaszającą problem. Zakres ujawnionych informacji był bardzo szeroki i obejmował:

• imię i nazwisko,
• datę urodzenia,
• adres zamieszkania lub pobytu,
• numer PESEL,
• serię i numer dowodu osobistego,
• dane dotyczące zdrowia (w tym dokumentację medyczną).

Zgłoszenie nie zawierało informacji o tożsamości poszkodowanych, a Ministerstwo Zdrowia nie podało publicznie nazwy szpitala, w którym doszło do incydentu.

Przeczytaj też: 5G w Polsce. Wyjaśniamy, czym jest sieć nowej generacji i co zrobić, by móc z niej korzystać

Skala i ograniczenie podatności

Z przeprowadzonych testów wynika, że podatność była ograniczona do jednego repozytorium w konkretnym szpitalu. Po zgłoszeniu incydentu Centrum e-Zdrowia (CSIRT CeZ) skontaktowało się z placówką oraz dostawcą oprogramowania, który potwierdził błąd i zadeklarował jego naprawę do 25 kwietnia 2025 r. Nie ma jednak pewności, od kiedy luka istniała i czy nie została wykorzystana wcześniej przez inne osoby.

Po wykryciu incydentu błąd został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych (UODO) 29 kwietnia 2025 r. Ministerstwo Zdrowia ostrzega, że wyciek danych może prowadzić do wielu negatywnych skutków, w tym:

• wykorzystania danych w nielegalnych bazach,
• prób uzyskania dostępu do innych systemów medycznych,
• wyłudzeń kredytów i pożyczek,
• kradzieży tożsamości,
• podszywania się pod poszkodowanych w różnych instytucjach,
• wyłudzenia dodatkowych danych poprzez kontakt telefoniczny lub internetowy,
• rejestracji kart SIM czy kont internetowych na cudze dane,
• uzyskania dostępu do środków finansowych lub usług na szkodę poszkodowanego.

Ministerstwo Zdrowia podkreśla, że podejmuje działania w celu zapewnienia bezpieczeństwa danych osobowych i zachęca do monitorowania wykorzystania swoich danych oraz korzystania z możliwości zastrzeżenia numeru PESEL. Sprawa pozostaje w toku, a Ministerstwo Zdrowia oraz CSIRT CeZ prowadzą dalsze działania wyjaśniające i naprawcze.

Źródło: Ministerstwo Zdrowia, Niebezpiecznik, Sekurak. Zdjęcie otwierające: Narodowy Fundusz Zdrowia

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Wyciek danych z Internetowego Konta Pacjenta. Twoja dokumentacja medyczna mogła trafić w niepowołane ręce pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.