Κενό ασφάλειας στο σύστημα πιστοποίησης ιατρικών βεβαιώσεων του υπουργείου Υγείας, αποκάλυψε τυχαία ένας τεχνικός υπολογιστών, ο οποίος ζει και εργάζεται στο εξωτερικό.
Σύμφωνα με δημοσίευμα του Inside Story, ο τεχνικός (software engineer) επικοινώνησε με συντάκτρια του μέσου, λέγοντας πως "επικοινωνώ μαζί σας για να μοιραστώ το παρακάτω πιθανό κενό ασφαλείας που εντόπισα, το οποίο ενδέχεται να οδηγήσει ευαίσθητα ιατρικά δεδομένα πολιτών στα χέρια τρίτων".
Η συντάκτρια δεν γνώρισε προσωπικά τον αναγνώστη και ήταν η πρώτη φορά που επικοινωνούσε.
Κάνοντας χρήση της πλατφόρμας πιστοποίησης [ιατρικών] βεβαιώσεων του υπουργείου Υγείας [...] και αφού εισήλθε με τα στοιχεία Taxisnet μου, πιστοποίησα τη γνησιότητα μιας βεβαίωσης που με αφορά, χρησιμοποιώντας τον δικό μου 13ψήφιο αναγνωριστικό αριθμό.
Καθώς στη διαδικασία δεν απαιτήθηκε κάποια επιπλέον ταυτοποίηση για την πρόσβαση στη γνωμάτευση και, παρατηρώντας ότι ο αριθμός αποτελούνταν από έξι ψηφία ημερομηνίας [π.χ. αν εκδοθεί σήμερα θα ξεκινά με: 250526] και επτά επιπλέον αριθμητικά ψηφία, θεώρησα ότι η δομή του 13ψήφιου ID το καθιστούσε εύκολα προβλέψιμο.
Για λόγους που σχετίζονται αποκλειστικά με τη διερεύνηση πιθανής αδυναμίας ασφαλείας, δοκίμασα να αλλάξω το τελευταίο ψηφίο του αριθμού της βεβαίωσης και το σύστημα εμφάνισε δεδομένα άλλου ασθενούς.
Σύμφωνα με το Inside Story, η αξιολόγηση του περιστατικού από την πλευρά της ΗΔΥΚΑ ολοκληρώθηκε την περασμένη Πέμπτη 21 Μαΐου και κοινοποιήθηκε στον υπεύθυνο προστασίας δεδομένων του υπουργείου Υγείας για να κρίνει αν είναι απαραίτητες περαιτέρω ενέργειες.
Η ΗΔΥΚΑ αρχικά επιβεβαιώνει αυτά που εντόπισε ο αναγνώστης του inside story, λέγοντας ότι πράγματι εντοπίστηκε αστοχία υλοποίησης στην πλατφόρμα ελέγχου εγκυρότητας ιατρικών βεβαιώσεων.
Μετά την άμεση προσωρινή απενεργοποίηση της υπηρεσίας, η ΗΔΥΚΑ πρόσθεσε ένα υποχρεωτικό πεδίο για τον ΑΜΚΑ του χρήστη, δηλαδή ένα ακόμη στοιχείο επαλήθευσης πέραν του 13ψηφιου αριθμού (barcode) και έθεσε σε λειτουργία έναν πιο σύνθετο αλγόριθμο για την παραγωγή των barcode των ιατρικών βεβαιώσεων, ώστε να μην είναι τόσο απλό να μαντέψεις έναν έγκυρο αριθμό με την αλλαγή απλώς ενός ψηφίου. Επίσης πλέον δεν φαίνεται στον χρήστη το περιεχόμενο της ιατρικής βεβαίωσης.
Ως προς τη σοβαρότητα του περιστατικού, η ΗΔΥΚΑ δεν φαίνεται να προβληματίζεται, καθώς στην επίσημη θέση της αναφέρεται ότι το μοναδικό καταγεγραμμένο περιστατικό είναι αυτό που αναφέρεται στο δημοσίευμα.
Προσθέστε το iatronet.gr στο DiscoverΕιδήσεις υγείας σήμερα
Κ. Παπαγιάννης : Η μη αξιοποίηση των δεδομένων υγείας έχει κόστος για τους ασθενείς, το σύστημα υγείας και την κοινωνία
Τα αναψυκτικά με ασπαρτάμη είναι λιγότερο επικίνδυνα για καρκίνο του ήπατος από τα ζαχαρούχα
Επιτροπή έρευνας στην Γερμανία: Οι μητέρες σήκωσαν το μεγαλύτερο βάρος της πανδημίας
Ασφαλιστικές: Γιατί ''ανεβαίνουν'' τα ασφάλιστρα
Νέα τριετής Επιχειρησιακή ΣΣΕ στην Εθνική Ασφαλιστική
Δωρεά 12 οχημάτων από την Εθνική Ασφαλιστική στην Περιφέρεια Θεσσαλίας
Η Εθνική Ασφαλιστική στο πλευρό του No Finish Line Athens
Ασφάλεια διακίνησης
Αυξημένα κέρδη για τις ασφαλιστικές εταιρείες
Τα αναψυκτικά με ασπαρτάμη είναι λιγότερο επικίνδυνα για καρκίνο του ήπατος από τα ζαχαρούχα
Σακχαρώδης διαβήτης κύησης: Έγκαιρη διάγνωση, ασφαλής εγκυμοσύνη
Η κοινωνική ανισότητα επιταχύνει τη βιολογική γήρανση (μελέτη)
Νέο αρνητικό ρεκόρ με clawback 80,7% στα νοσοκομειακά φάρμακα, απειλεί την καινοτομία και τους ασθενείς
Θεσσαλονίκη: Αγώνας ζωής για ένα μικρό θαύμα 470 γραμμαρίων
Καρπούζι: Ποια είναι τα οφέλη του στην υγεία
ΔΕΠΥ: Πώς εμφανίζεται στις γυναίκες και γιατί συχνά αργεί η αναγνώριση
9 εξακριβωμένα οφέλη του κολοκυθόσπορου
Η Μαριάντζελα Οικονομοπούλου αναλαμβάνει τη θέση της SEE Head of Access & External Engagement στην UCB
Εμ. Ροηλίδης: Διεθνής διάκριση για τον καθηγητή Παιδιατρικής λοιμωξιολογίας
Βραδινές συνήθειες για πιο υγιές έντερο
Εγκαίνια 2 νέων αξονικών τομογράφων και της νέας Καρδιολογικής Κλινικής στο Γενικό Ογκολογικό Νοσοκομείο Κηφισιάς ''Οι Άγιοι Ανάργυροι''