Strona główna / Incydent
Drodzy pacjenci!
Z przykrością informujemy o incydencie bezpieczeństwa, który miał miejsce 19.03.2024 w firmie Medily, dostawcy oprogramowania medycznego Aurero dla placówek medycznych w Polsce.
Informację dotyczącą danych pacjentów, których dane wyciekły (plik z bazy danych) otrzymaliśmy w dniu 27.03.2024r. o godz. 17:26.
Obecnie dokonujemy wszelkich starań, aby wszystkie osoby, których dane wyciekły zostały odpowiednio poinformowane.
Na podstawie analizy plików od Medily stwierdzamy, że wyciek danych dotyczy podstawowych danych osobowych (tj. imię, nazwisko, numer pesel, data urodzenia, płeć) 43 pacjentów działu Badań Klinicznych oraz rekordy o przebytych wizytach, które zawierają następujące dane: dane pacjenta, dane lekarza wraz z NPWZ oraz data i godzina rezerwacji.
Dane dotyczą osób, które korzystały z usług działu Badań Klinicznych w Centrum Medycznym Angelius prowadzonym przez Provita sp. z o.o. (dalej Provita Sp. z o.o.) do roku 2019. Provita sp. z o.o. podpisała z firmą Medily umowę o powierzeniu przetwarzania danych osobowych, umowa ta obowiązuje do dnia dzisiejszego.
Zgodnie z umową zawartą przez Administratora z Medily sp. z o.o., Administrator powierzył Medily sp. z o.o. do przetwarzania dane osobowe swoich pacjentów w celu świadczenia przez Medily sp. z o.o. na rzecz Administratora usług polegających na możliwości korzystania z serwisu i aplikacji Aurero. W dniu 21.03.2024r. o godz. 11:26 Administrator otrzymał wiadomość e-mail od Medily sp. z o.o., iż na skutek działalności przestępczej doszło do ujawnienia danych osobowych przechowywanych przez Medily sp. z o.o. w archiwalnym środowisku testowym starej wersji systemu Aurero.
Informację o naruszeniu bezpieczeństwa danych Medily sp. z o.o. otrzymała w dniu 19.03.2024 r. od CERT NASK, który wskazał, że na forum cyberprzestępczym dostępnym w sieci TOR opublikowano dane pochodzące z systemu Aurero. Zgłoszenie zostało potwierdzone przez Medily sp. z o.o. i ustalono, że ujawnione dane pochodziły z serwera testowego pochodzącego ze starej wersji systemu Aurero z lat 2019-2021. Według Medily sp. z o.o. link został zgłoszony i usunięty i nie jest już dostępny.
W dniu 27.03.2024r. o godz. 17:26 Administrator otrzymał plik bazy danych pacjentów, które wyciekły.
W celu uzyskania dalszych informacji zapraszamy do kontaktu z Inspektorem Ochrony Danych, Panią Karoliną Rogowską, poprzez adres e-mail: iodo@angelius.org
W konsekwencji naruszenia może dojść do: kradzieży lub sfałszowania tożsamości poprzez zaciąganie na Państwa dane kredytów w instytucjach pozabankowych, zawierania innego rodzaju umów na Państwa szkodę, uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono, korzystanie z praw obywatelskich osoby, której dane naruszono, np. wykorzystanie danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego, wyłudzenie ubezpieczenia, podszywania się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji, np. danych do logowania, naruszenia dóbr osobistych. Zalecamy zastrzeżenie numeru PESEL, a także założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zachowanie ostrożności w kontaktach z osobami próbującymi pozyskać od Państwa jakiekolwiek informacje.
Podmiot przetwarzający po wystąpieniu incydentu dokonał następujących czynności: hasła dostępowe do wszystkich środowisk zostały natychmiast zmienione i przeprowadzone zostały dodatkowe audyty zabezpieczeń sieciowych (VPN, firewall). Podmiot przetwarzający rozpoczął przebudowę od nowa środowisk testowych, tak aby mieć pewność, że żadne rzeczywiste dane nie znajdują się na nich.
Według Medily sp. z o.o. link, pod którym dostępne były dane osobowe został usunięty tego samego dnia, w którym Pomiot przetwarzający uzyskał informację od NASK, tj. 19.03.2024 r. i nie jest już dostępny. Administrator we współpracy z Podmiotem przetwarzającym ustalił listę osób, których dane zostały naruszone. Administrator zamierza niezwłocznie powiadomić te osoby o zaistniałej sytuacji. Administrator planuje przekazać informacje przez wysłanie wiadomości sms do osób, których dane zostały naruszone.
Uwaga sms 1 z 4! Centrum Medyczne Angelius Provita (Provita sp. z o.o.) informuje, iż doszło do naruszenia poufności Państwa danych osobowych poprzez kradzież Państwa danych z systemów informatycznych procesora na skutek ataku hakerskiego oraz ujawnienia tych danych na forum cyberprzestępczym. Dane, które zostały ujawnione to: imię, nazwisko, płeć, data urodzenia, PESEL, numer telefonu oraz data i godzina wizyty. Przestępstwo zostało zgłoszone do organów ścigania, link z danymi ujawnionymi na forum cyberprzestępczym został usunięty i dane nie są już dostępne, procesor zmienił hasła dostępowe do swoich systemów. W konsekwencji naruszenia może dojść do: kradzieży lub sfałszowania tożsamości poprzez zaciąganie na Państwa dane kredytów w instytucjach pozabankowych, zawierania innego rodzaju umów na Państwa szkodę, uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono, korzystanie z praw obywatelskich osoby, której dane naruszono, np. wykorzystanie danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego, wyłudzenie ubezpieczenia, podszywania się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji, np. danych do logowania, naruszenia dóbr osobistych. Zalecamy zastrzeżenie numeru PESEL, a także założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zachowanie ostrożności w kontaktach z osobami próbującymi pozyskać od Państwa jakiekolwiek informacje. W celu uzyskania dalszych informacji zapraszamy do kontaktu z Inspektorem ochrony danych osobowych Panią Karoliną Rogowska, e-mail: iodo@angelius.org.
Przewiń do góry