Czego uczy wyciek z Medily?💉

wyciek-danych-medily

Są dwa rodzaje wycieków. Pierwsze to takie, które były spowodowane błędem trudnym do odkrycia – tu przypomina się historia giełdy z kryptowalutami, która robiła 2 pełnoprawne pentesty rocznie, a i tak cyberprzestępcy znaleźli sposób, żeby ukraść Bitcoiny. Drugi przypadek to taki jak w Medily, gdzie ignoranci i – zaryzykuję słowo – mendy (potoczne określenie ludzi o wątpliwej moralności), nie używali głowy, a dane pacjentów traktowali jak klocki do zabawy.

Czemu używam aż tak mocnego języka? Bo wczoraj (tj. 27.03.2024) okazało się, że Medily korzystał z danych pacjentów od ok. 40 klinik. Co najmniej z jednym podmiotem, czyli DCG Centrum Medyczne, nie miał stosownej umowy i uprawnień, żeby używać tych wrażliwych informacji, bo w 2021 roku DCG wypowiedziało Medily umowę. Tylko osoby bez moralnego kręgosłupa mogą nie szanować prawa, ustaleń z biznespartnerami i zasad współżycia społecznego. Dlatego uważam, że Medily powinni zmienić nazwę na Mendylie, żeby każdy wiedział, z kim ma do czynienia. Jeśli nawet uznasz tę szyderę za niepoprawną, to pamiętaj, że tam też mogłyby być Twoje dane i Twoich bliskich. Całe szczęście, że zaraz wchodzą w życie przepisy antyspoofingowe i zastrzeganie numeru PESEL. Odsyłam do artykułów na https://niebezpiecznik.pl.

Wyciągamy wnioski


Mimo że nie mamy nic wspólnego z tym wyciekiem i nawet dane tam zawarte nas nie dotyczą, to wyciągamy wnioski i próbujemy przełożyć taką sytuację, jakby się zdarzyła u nas. Testujemy, analizujemy, wykonujemy eksperymenty myślowe i burze mózgowo-procesorowe z AI. To jest bardzo ważne, żeby wyciągać wnioski, robić analizy u siebie i słuchać rekomendacji fachowców. Najgorsze jest to, że gdyby Mendylie przestrzegało zasad, procedur i ustaleń, to nie doszłoby do wycieku. Ewidentnie zawinił tu człowiek i na taką skalę, że powinien odpowiadać karnie, żeby każdy następny „mądry” developer zastanowił się pięć razy, zanim użyje w sposób nieuprawniony prawdziwych danych w koślawym środowisku testowym.

Dodatkowo od czasu do czasu siadamy i sami szukamy po sieci dumpowanych baz danych czy innych objawów wycieku. Dwa razy udało nam się znaleźć sklepy z bazą danych „na wierzchu”, ale tu zawsze wzorowo działał CERT. W lutym tego roku odkryliśmy potencjalne włamania i możliwość wycieku w sklepie należącym do katowickiej spółki, a spółka nawet nie odpowiedziała na mój monit. Sprawą zajmuje się CBZC, ale z nimi rozmawia się podobnie jak z innymi formacjami, które traktują obywatela jak zło konieczne. Jednym słowem w Polsce dbanie o dane klientów, pacjentów czy innych konsumentów jest farsą. W firmie Mendylie powinny być już dawno służby, żeby ustalić, kto „zapomniał” skasować dane od DCG, a ten człowiek powinien nie wypłacić się do końca życia.

Dbajcie o swoje dane, bo nikt poza wami o nie nie zadba.

[Aktualizacja]

Chcecie się dowiedzieć jak doszło do ataku? To lepiej usiądźcie. Medily użył danych prawdziwych pacjentów, do których nie miał praw, na serwerze testowym, bez żadnej warsty zabezpieczenia jak VPN albo chociaż 2FA. A haker znalazł hasło do serwera w plaintext’cie w kodzie strony Medily… Cały artukuł poniżej.

Find this content useful? Share it with your friends!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *