Atak hakerski w DCG Centrum Medyczne [KOMUNIKAT WS. WYCIEKU DANYCH]

Pacjenci DCG otrzymali od centrum następującą wiadomość:

"Uwaga! DCG Centrum Medyczne sp. z o.o. (DCG) informuje, iz doszlo do naruszenia poufnosci Panstwa danych osobowych poprzez ich bezpodstawne przechowywanie po rozwiazaniu umowy przez podmiot, ktoremu powierzylismy przetwarzanie Panstwa danych (procesor), a nastepnie poprzez kradziez Panstwa danych z systemow informatycznych procesora na skutek ataku hakerskiego oraz ujawnienia tych danych na forum cyberprzestepczym."

W kolejnej wiadomości SMS do klientów firma przyznała, że wyciek danych obejmuje takie informacje, jak:

• Imie i nazwisko,
• płeć,
• data urodzenia,
• PESEL,
• adres zamieszkania,
• adres e-mail,
• numer telefonu

Portal niebezpiecznik.pl, który zajmuje się tego typu wyciekami, nie wyklucza że ujawnione mogły zostać także dane medyczne, które obejmują m.in. opis przebiegu procesu leczenia i diagnostyki.

W SMS-ie do klientów przeczytać możemy także, że "Przestępstwo zostało zgłoszone do organów ścigania, link z danymi ujawnionymi na forum cyberprzestępczym został usunięty i dane nie są już dostępne".

W oświadczeniu wydanym przez centrum medyczne możemy przeczytać, że dane które zostały wykradzione i upublicznione obejmują:

• Dane osobowe pacjentów (imię i nazwisko, pesel, dane adresowe i dane kontaktowe),
• Informacje o umówionych wizytach (dane pacjenta, dane lekarza wraz z jego specjalizacją oraz data i godzina rezerwacji),
• Dane o stanie zdrowia pacjentów zawarte na wizytach medycznych oraz wystawionych e-Dokumentów (recepty, skierowania, zwolnienia),
• Dane użytkowników/pracowników (imię, nazwisko, dane kontaktowe)

W oświadczeniu czytamy także, że "Dane obejmują okres do 2019 roku i nie zawierają dokumentów załączanych bezpośrednio w systemie. Opublikowane pliki zostały już usunięte i nie są dostępne w sieci.

Jeżeli korzystali Państwo z usług DCG Centrum Medyczne, powinni Państwo w pierwszej kolejności zastrzec swój PESEL - można zrobić to w prosty sposób w aplikacji mObywatel, na stronie mobywatel.gov.pl oraz w urzędzie gminy, a także być wyczulonym na kontakty telefoniczne, smsowe oraz mailowe, które mogą okazać się oszustwem.

AKTUALIZACJA: 

Centrum medyczne wydało obszerny komunikat w związku z licznymi pytaniami zaniepokojonych pacjentów placówki:

Incydent bezpieczeństwa danych osobowych spółki Medily sp. z o. o., dostawcy oprogramowania AURERO, z dnia 19.03.2024

Szanowni Państwo, w wyniku dużej ilości zapytań mailowych, telefonicznych, czy przez kanały mediów społecznościowych, kontakt z DCG jest utrudniony. Dokładamy wszelkich starań, aby odpowiedzieć na Państwa zapytania najszybciej, jak to możliwe. Jeżeli nie otrzymali Państwo odpowiedzi na wszystkie pytania, na pewno powrócimy z informacją zwrotną.

Szanowni Państwo,

W DCG w latach 2019-2021 korzystało z systemu medycznego AURERO, którego dostawcą była Medily spółka z ograniczoną odpowiedzialnością z siedzibą w Łodzi. DCG zakończyło współpracę z Medily z dniem 31 stycznia 2021 roku, a spółka była zobowiązana do usunięcia danych niezwłocznie po zakończeniu Umowy.

Medily sp. z o. o. poinformowało nas o wycieku wrażliwych danych osobowych, wysyłając poniższy komunikat:

1. Komunikat Medily sp. z o.o. do DCG Centrum Medyczne

Szanowni Państwo,

Medily Sp. z o. o. (dalej: Spółka) informuje, że w dniu 19 marca 2024 r. w wyniku przestępstwa popełnionego na szkodę Spółki doszło do naruszenia ochrony danych osobowych. Informację o naruszeniu bezpieczeństwa danych otrzymaliśmy od CERT NASK, który wskazał, że na forum cyberprzestępczym dostępnym w sieci TOR opublikowano dane pochodzące z systemu Aurero.

Po przeprowadzeniu wnikliwej analizy przez nasz zespół IT oraz przy wsparciu specjalistów z zakresu cyberbezpieczeństwa potwierdzono, że ujawnione dane pochodzą z archiwalnego środowiska testowego starej wersji systemu Aurero, na którym przeprowadzane były testy wydania wersji na rzeczywistych danych. Praktyka takich testów została zaprzestana z końcem 2021 roku.

Jakkolwiek naruszenie ochrony danych osobowych może dotyczyć osób fizycznych, które korzystają z Państwa usług lub są Waszymi pracownikami/współpracownikami albo partnerami.

Dane jakie znajdowały się w archiwalnym bazach obejmują:

• Dane osobowe pacjentów (imię i nazwisko, pesel, dane adresowe i dane kontaktowe)
  
• Informacje o umówionych wizytach (dane pacjenta, dane lekarza wraz z jego specjalizacją oraz data i godzina rezerwacji)
  
• Dane o stanie zdrowia pacjentów zawarte na wizytach medycznych oraz wystawionych e-Dokumentów (recepty, skierowania, zwolnienia)
• Dane użytkowników/pracowników (imię, nazwisko, dane kontaktowe)

Dane obejmują okres do 2019 roku i nie zawierają dokumentów załączanych bezpośrednio w systemie. Opublikowane pliki zostały już usunięte i nie są dostępne w sieci.

Potwierdziliśmy, że dzięki zróżnicowanym protokołom i wyższym standardom bezpieczeństwa środowisk produkcyjnych, incydent nie objął żadnych bieżących danych codziennej pracy.

Po wystąpieniu incydentu, hasła dostępowe do wszystkich środowisk zostały natychmiast zmienione i przeprowadzone zostały dodatkowe audyty zabezpieczeń sieciowych (VPN, firewall). Rozpoczęliśmy także przebudowę od nowa środowisk testowych, tak aby mieć pewność, że żadne rzeczywiste dane nie znajdują się na nich.

Spółka z uwagi na przestępczy charakter działań złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa. Aktualnie uprawnione instytucje prowadzą odpowiednie postępowania, a Spółka przystąpiła do obowiązków wynikających z przepisów prawa. Jednocześnie zapewniamy, że sprawę traktujemy absolutnie priorytetowo. Wdrożyliśmy odpowiednie procedury zmierzające do likwidacji skutków ataku oraz zapewnienia bezpieczeństwa danych w przyszłości.

W razie jakichkolwiek pytań w tym zakresie jesteśmy otwarci na komunikację z Państwem.

Z poważaniem,
Patryk Ogórek
Prezes Zarządu
Medily Sp. z o.o.

2. Czynności podjęte przez DCG Centrum Medyczne

Spółka podjęła następujące kroki:

• Złożyliśmy zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych [PUODO] o naruszeniu ochrony danych osobowych naszych pacjentów w wyniku wycieku danych ze spółki Medily sp. z o. o.
  
• Zgodnie z ustawą o RODO pozyskaliśmy informację o wszystkich udostępnionych danych, poinformowaliśmy wszystkich Państwa, których dane osobowe zostały naruszone z informacją o kategorii udostępnionych danych, zgodnie z art. 28 ustawy o RODO.
  
• Medily sp. z o. o. potwierdziła, że dane zostały usunięte i nie są już dostępne w sieci.
  
• Zobowiązaliśmy Medily do trwałego usunięcia Państwa danych (co powinni wykonać niezwłocznie po zakończeniu umowy, tj. po 31.01.2021).

3. Jakie są ryzyka w konsekwencji naruszenia danych?

Kradzieży lub sfałszowania tożsamości poprzez zaciągnięcie na Państwa dane kredytów w instytucjach pozabankowych, zawierania innego rodzaju Umów na Państwa szkodę, podszywanie się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji, np. danych do logowania, naruszenia dóbr osobistych.

4. Co mogą Państwo zrobić w tej sytuacji?

Zalecamy dokonanie zastrzeżenia numeru PESEL oraz zachowanie wszelkiej ostrożności w kontaktach z osobami nieznajomymi, które mogą chcieć wyłudzić od Pana/Pani dodatkowe informacje na bazie informacji pozyskanych w wyniku ataku hakerskiego. Proszę nie podawać loginów, haseł, nie klikać w linki zawarte w korespondencji niewiadomego pochodzenia. Proszę zwracać uwagę na przychodzące maile, smsy, z których wynika, że zawarli Państwo jakąś umowę, o której Państwo nic nie wiedzą. DCG zgłosiło naruszenie do Prezesa Urzędu Ochrony danych Osobowych i będziemy z nim współpracować, jak również z organami ścigania. Zażądaliśmy od dostawy oprogramowania – firmy Medily sp. z o.o. usunięcia wszelkich danych, które zostały im powierzone do przetwarzania w związku z łącząca nas w przeszłości umową.

5. Najczęściej pojawiąjące się pytania

1. Czy to prawda, że dane wyciekły? – Tak potwierdzamy wyciek danych. Rozumiemy, że w
dobie powszechnej dezinformacji może mieć Pan/Pani wątpliwości co do prawdziwości treści
otrzymanej w sms lub mailowo.

2. Jak chcemy rozwiązać tą sytuację? – zgłosiliśmy naruszenie do Prezesa Urzędu Ochrony
danych Osobowych i będziemy z nim współpracować, jak również z organami ścigania.

3. Czy SMS pochodzi od nas z informacją o kradzieży danych? - Tak potwierdzamy, że sms z informacja o kradzieży danych pochodzi z DCG. Rozumiemy, że w dobie powszechnej dezinformacji może mieć Pan/Pani wątpliwości co do prawdziwości treści otrzymanej w sms lub mailowo 

4. Jakie dane zostały udostępnione i komu? – Jako Administrator Państwa danych osobowych powierzyliśmy przetwarzanie Państwa danych osobowych firmie Medily sp. z o.o., która była dostawą oprogramowania, z którego korzystaliśmy. Powierzone do przetwarzania zostały dane osobowe: imię i nazwisko, adres zamieszkania, telefon, adres e-mail, nr PESEL, a także informacje zawarte w dokumentacji medycznej.

5. Czy mam się obawiać? Istnieje ryzyko złowrogiego wykorzystania danych osobowych. Zalecamy podjęcie czynności zabezpieczających, o których pisaliśmy, takich jak zastrzeżenie numeru PESEL oraz zachowanie wszelkiej ostrożności w kontaktach z osobami nieznajomymi, które mogą chcieć wyłudzić od Pana/Pani dodatkowe informacje na bazie informacji pozyskanych w wyniku ataku hakerskiego. Proszę nie podawać loginów, haseł, nie klikać w linki zawarte w korespondencji niewiadomego pochodzenia. Proszę zwracać uwagę na przychodzące maile, smsy, z których wynika, że zawarli Państwo jakąś umowę, o której Państwo nic nie wiedzą i w razie konieczności interweniować.

6. Jakie kroki powinienem/powinnam poczynić i jakie kroki poczynili Państwo? Jak planujemy rozwiązać problem? – zalecamy dokonanie zastrzeżenia numeru PESEL oraz zachowanie wszelkiej ostrożności w kontaktach z osobami nieznajomymi, które mogą chcieć wyłudzić od Pana/Pani dodatkowe informacje na bazie informacji pozyskanych w wyniku ataku hakerskiego. Proszę nie podawać loginów, haseł, nie klikać w linki zawarte w korespondencji niewiadomego pochodzenia. Proszę zwracać uwagę na przychodzące maile, smsy, z których wynika, że zawarli Państwo jakąś umowę, o której Państwo nic nie wiedzą. DCG zgłosiło naruszenie do Prezesa Urzędu Ochrony danych Osobowych i będziemy z nim współpracować, jak również z organami ścigania. Zażądaliśmy od dostawy oprogramowania – firmy Medily sp. z o.o. usunięcia wszelkich danych, które zostały im powierzone do przetwarzania w związku z łącząca nas w przeszłości umową.

7. Jak zastrzeć numer pesel?

          1. Proszę zalogować się na aplikację mObywatel

          2. Z menu na dole proszę wybrać ikonę "Usługi"

          3. Pojawi się lista - na samej górze będzie opcja "Zastrzeż numer PESEL"

          4. Przejdziemy do podstrony gdzie:

                    a) można suwakiem przesunąć by zastrzec numer PESEL

                    b) sprawdzić czy jakaś instytucja sprawdzała nasz PESEL

8. Na ile ten wyciek jest niebezpieczny? – Sprawca nie jest znany i trudno ocenić skutki. Zalecamy zastosowanie się do zaleceń przekazanych Panu/Pani w informacji sms/mail, tj. dokonanie zastrzeżenia numeru PESEL oraz zachowanie wszelkiej ostrożności w kontaktach z osobami nieznajomymi, które mogą chcieć wyłudzić od Pana/Pani dodatkowe informacje na bazie informacji pozyskanych w wyniku ataku hakerskiego. Proszę nie podawać loginów, haseł, nie klikać w linki zawarte w korespondencji niewiadomego pochodzenia. Proszę zwracać uwagę na przychodzące maile, smsy, z których wynika, że zawarli Państwo jakąś umowę, o której Państwo nic nie wiedzą.

9. Jak doszło do wycieku? – do wycieku doszło na skutek złamania zabezpieczeń stosowanych przez dostawcę oprogramowania - firmę Medily sp. z o.o.

10. Czy dokonali Państwo zgłoszenia do PUODO? – Tak, DCG 25 marca 2024 dokonało zgłoszenia wycieku danych z Medily sp. z o.o., dostawcy oprogramowania AURERO, do Prezesa Urzędu Ochrony Danych Osobowych.

11. Czy powinienem/powinnam dokonać zgłoszenia na policję? – nie ma potrzeby zgłaszania incydentu na policję, zgłoszenia wycieku danych dokonał prezes spółki Medily sp. z o. o. z siedzibą w Łodzi w dniu 20.03.2024 roku na Komisariat Policji Wrocław Śródmieście (nr sprawy JED-46010/24)

12. Czy dane nowsze niż 2019 również wyciekły? – Nie, DCG nie korzysta z usług Medily od 31 stycznia 2021 roku, a wg. oświadczenia dostawcy programu medycznego Aurero (Medily sp. z o.o.), atak hakerski obejmował dane do 2019 roku.

13. Dlaczego Medily sp. z o.o. miał moje dane? – Medily Sp. z o.o. jest firmą informatyczną, dostawcą oprogramowania medycznego Aurero dla placówek medycznej w całej Polsce. DCG korzystało z programu Aurero w okresie od 15 sierpnia 2019 roku do 31 stycznia 2021. Od 1 lutego 2021 DCG korzysta z innego systemu medycznego.

14. Kiedy i gdzie nastąpiło udostepnienie danych? – Według Medily sp. z o.o., udostępnienie w wyniku przestępstwa danych nastąpiło 19 marca 2024 roku na forum cyberprzestępczym w sieci TOR.

15. Kiedy dane przestały być dostępne? – Według oświadczeń słownych prezesa zarządu Medily sp. z o.o., udostępnienie w wyniku przestępstwa danych trwało ok. 4 godzin. Zostało wykryte i usunięte tego samego dnia.

16. Nigdy nie byłem pacjentem/pacjentką, a dostałem SMS. Dlaczego? – DCG Centrum Medyczne funkcjonuje na rynku wrocławskim od 2001 roku (23 lata). Do niedawna spółka funkcjonowała pod marką Dolnośląskie Centrum Ginekologii i Zdrowia Rodziny, a jeszcze wcześniej pod praktyką ginekologiczną MARIMAR - zarówno na powstańców śląskich 48 jak i na ul. krynickiej 22/1A. Jeżeli nigdy nie korzystaliście Państwo z konsultacji lekarskich w naszych placówkach, telewizyt, nie rejestrowaliście się przez portale zewnętrzne (tj. znany lekarz), lub nie korzystaliście z punktu pobrań, prosimy o skierowanie maila w tej kwestii na adres [email protected].

17. Czy udostępniono dane mojego dowodu osobistego? – Nie, dane dowodu osobistego pacjentów nie zostały udostępnione.