Wyciek danych z AURERO/Medily

 

Komunikat dotyczący naruszenia bezpieczeństwa danych osobowych na serwerach zarządzanych przez Medily sp. z o.o., które jest dostawcą oprogramowania do zarządzania danymi pacjentów AURERO.

UWAGA! Poniższe informacje dotyczą wyłącznie Pacjentów, którzy korzystali z usług naszego wrocławskiego ośrodka w okresie od 5 marca 2020 r. do 21 października 2021 r.

 

Szanowni Pacjenci,

informujemy o incydencie dotyczącym wycieku Państwa danych osobowych przetwarzanych przez dostawcę systemu do zarządzania danymi pacjentów AURERO, tj. Medily sp. z o.o. z siedzibą w Łodzi (dalej: Medily). Według posiadanych przez nas informacji, zdarzenie dotknęło wiele placówek medycznych w Polsce, w tym również FutureMeds.

Mając na względzie powagę sytuacji oraz w trosce o bezpieczeństwo Państwa danych, poniżej przedstawiamy najważniejsze informacje oraz kroki jakie zostały podjęte w związku ze zdarzeniem. Do Pacjentów, których dotyczy naruszenie, zostały skierowane indywidualne zawiadomienia.

Za zaistniałą sytuację przepraszamy i zapewniamy, że dokładamy wszelkich starań, aby skutki zdarzenia były dla Państwa jak najmniej odczuwalne.

 

UWAGA! Poniższe informacje dotyczą wyłącznie tych Pacjentów, którzy korzystali z usług naszego wrocławskiego ośrodka w okresie od 5 marca 2020 r. do 21 października 2021 r.

 

 

1. Co się stało?

Na przełomie 11/12 marca 2024 r. doszło do ataku hackerskiego na serwery zarządzane przez Medily – dostawcę systemu do zarządzania danymi pacjentów AURERO – czego skutkiem był wyciek danych osobowych Pacjentów z placówek medycznych w całej Polsce, w tym naszej. Podkreślamy, że do ataku nie doszło na serwerach zarządzanych przez FutureMeds.

Zgodnie z komunikatem przekazanym przez Medily, dane zawarte w archiwalnej bazie testowej środowiska pozaprodukcyjnego aplikacji AURERO zostały w sposób nieautoryzowany udostępnione w sieci TOR (fragment sieci używany do publikacji nielegalnie pozyskanych danych).

 

19 marca 2024 r. CERT NASK przekazał Medily informację o wycieku.

21 marca 2024 r. FutureMeds otrzymało powiadomienie od Medily dotyczące incydentu związanego z naruszeniem bezpieczeństwa Państwa danych.

22 marca 2024 r. otrzymaliśmy potwierdzenie, że doszło do wycieku rzeczywistych danych osobowych naszych Pacjentów w wyniku ataku na zabezpieczenia systemowe oraz kradzieży danych, mimo iż naruszenie obejmowało wyłącznie środowisko testowe aplikacji. Oznacza to, że dane osobowe Pacjentów zostały narażone na nieuprawniony dostęp i potencjalnie mogą zostać wykorzystane w sposób szkodliwy lub nielegalny.

29 marca 2024 r. Medily przekazało FutureMeds raport dotyczący zdarzenia, wskazując, że szczegółowe informacje zostały przekazane organom ścigania prowadzącym śledztwo na podstawie zgłoszenia wystąpienia incydentu.

 

2. Kogo dotyczy wyciek?

Wyciek dotyczył danych z serwera używanego w latach 2019-2021 i może dotyczyć Pacjentów w całej Polsce, przy czym w odniesieniu do Państwa danych – jako Pacjentów FutureMeds – naruszenie obejmuje wyłącznie dane z okresu od 5 marca 2020 roku do 21 października 2021 roku.

Do Pacjentów, których dotyczy naruszenie, FutureMeds skierowało indywidualne zawiadomienia opisujące zdarzenie. Z uwagi na to, że zawiadomienia są wysyłane za pośrednictwem Poczty Polskiej, spodziewamy się, że będą one sukcesywnie do Państwa trafiać w ciągu najbliższych dni.

W przypadku chęci potwierdzenia czy wyciek dotyczy Państwa danych – zachęcamy do kontaktu z zespołem powołanym do obsługi zaistniałego naruszenia:

 

adres e-mail: alert@futuremeds.com

infolinia: 71 394 08 10

 

3. Jakiego zakresu danych dotyczy naruszenie?

Szczegółowe informacje odnoszące się do Państwa sytuacji zostały wskazane w indywidualnym zawiadomieniu.

W odniesieniu do Pacjentów FutureMeds, zakres wycieku danych możemy podzielić na trzy grupy:

 

ZAKRES A

ZAKRES B

ZAKRES C

DANE PODSTAWOWE

imię

imię

imię

nazwisko

nazwisko

nazwisko

numer telefonu

numer telefonu

numer telefonu

PESEL

PESEL

 

data urodzenia

data urodzenia

 

płeć

płeć

 

adres zamieszkania

adres zamieszkania

 

numer dokumentu tożsamości

 

 

DANE OKOŁOMEDYCZNE/DOTYCZĄCE STANU ZDROWIA

data wizyty lekarskiej

dane lekarza prowadzącego wizytę

(imię, nazwisko, numer prawa wykonywania zawodu, tytuł, numer telefonu)

 

W odniesieniu do danych Pacjentów FutureMeds, wyciek nie obejmował dokumentacji medycznej, w tym: recept, skierowań, rozpoznania choroby, proponowanego leczenia, a także innych dokumentów wprowadzanych do systemu AURERO.

 

W przypadku chęci potwierdzenia zakresu ujawnionych danych – zachęcamy do kontaktu z zespołem powołanym do obsługi zaistniałego naruszenia:

 

adres e-mail: alert@futuremeds.com

infolinia: 71 394 08 10

 

4. Jakie działania zostały podjęte w związku z wykrytym naruszeniem?

Zgodnie z obowiązkiem prawnym ciążącym na FutureMeds, naruszenie zostało zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych. Głównym celem takiego działania jest udzielenie ochrony praw i wolności jednostek. W kontekście powagi naruszenia, kluczowa była szybka reakcja i niezwłoczne powiadomienie organu nadzorczego o incydencie.

FutureMeds ustaliło zakres i listę osób, których dane zostały objęte wyciekiem oraz otrzymało od Medily potwierdzenie trwałego usunięcia Państwa danych z bazy, której dotyczył wyciek. Wszczęto wewnętrzną procedurę dotyczącą naruszenia danych osobowych.

Do wszystkich osób, których dotyczy naruszenie, FutureMeds skierowało indywidualne zawiadomienia opisujące zdarzenie. Z uwagi na to, że zawiadomienia są wysyłane za pośrednictwem Poczty Polskiej, spodziewamy się, że będą one sukcesywnie do Państwa trafiać w ciągu najbliższych dni. Zawiadomienie wraz z niniejszym komunikatem stanowią realizację obowiązku wynikającego z art. 34 RODO.

Powołaliśmy również wewnętrzny zespół do obsługi zaistniałego zdarzenia i uruchomiliśmy dla Państwa odrębne kanały informacyjne:

 

adres e-mail: alert@futuremeds.com

infolinia: 71 394 08 10

 

Zgodnie z oświadczeniem otrzymanym od Medily, w celu neutralizacji skutków incydentu, Medily zmieniło hasła dostępowe do wszystkich środowisk oraz przeprowadziło dodatkowe audyty zabezpieczeń sieciowych (VPN, firewall). Medily rozpoczęło także przebudowę środowisk testowych od nowa, aby żadne rzeczywiste dane Pacjentów nie były na nich przechowywane.

Dodatkowo, 20 marca 2024 roku Medily zgłosiło podejrzenie popełnienia przestępstwa związane z wyciekiem danych, a obecnie odpowiednie instytucje prowadzą właściwe postępowania. Komisariat Policji Wrocław Śródmieście (ul. Grunwaldzka 6, 50-355 Wrocław) zarejestrował sprawę pod sygnaturą JED-46010/24.

FutureMeds deklaruje pełną współpracę z odpowiednimi służbami w celu ustalenia okoliczności zdarzenia oraz zapobieżenia jego negatywnym skutkom

 

5. Jakie są możliwe konsekwencje dla Państwa prywatności?

W odniesieniu do Państwa indywidualnej sytuacji, potencjalne konsekwencje naruszenia ochrony danych osobowych zostały przedstawione w treści zawiadomienia, bowiem są one ściśle powiązane z zakresem danych, które zostały ujawnione.

 

UWAGA! Na moment wydania komunikatu nie otrzymaliśmy potwierdzenia, by Państwa dane zostały wykorzystane w nieautoryzowany sposób, natomiast zalecamy zachowanie szczególnej ostrożności. W tym zakresie ciąży na nas prawny obowiązek poinformowania o potencjalnych ryzykach wynikających z naruszenia.

Z daleko idącej ostrożności wskazujemy, że w zależności od zakresu ujawnionych danych, następstwem zdarzenia może być:

    1. założenie na Państwa dane osobowe konta internetowego lub próby nieuprawnionego dostępu do kont już założonych (np. w serwisach społecznościowych, skrzynkach mailowych, sklepach internetowych);
    2. kierowanie na ujawniony numer telefonu lub adres e-mail podejrzanej korespondencji (wiadomości SMS lub e-mail);
    3. kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie kredytów w instytucjach poza bankowych (przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości);
    4. wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania Państwu odpowiedzialności za dokonanie takiego oszustwa;
    5. osoby trzecie mogą podjąć próbę zawarcia na Państwa szkodę umów cywilno-prawnych, np. najmu nieruchomości;
    6. Państwa dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu;
    7. wobec tego, że ujawniono także Państwa dane osobowe dotyczące zdrowia, czyli dane osobowe szczególnej kategorii, może się to wiązać z naruszeniem Państwa dóbr osobistych lub dyskryminacją.

 

6. Co mogę teraz zrobić?

W odniesieniu do Państwa indywidualnej sytuacji, konkretne propozycje działań zostały przedstawione w treści zawiadomienia, bowiem są one ściśle powiązane z zakresem danych, które zostały ujawnione.

 

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia, zalecamy przede wszystkim zachowanie szczególnej ostrożności, a dodatkowo rozważenie poniższych opcji:

  1. skorzystanie z usługi Alert BIK, aby monitorować aktywność związaną z danymi kredytowymi;
  2. bezpłatne zastrzeżenie numer PESEL:
    • w aplikacji mObywatel;
    • na stronie rządowej mobywatel.gov.pl;
    • osobiście w dowolnym urzędzie gminy;
      • przy czym zwracamy uwagę, że instytucje finansowe (takie jak banki) będą miały obowiązek weryfikować, czy numer PESEL jest zastrzeżony przy zawieraniu m.in. umowy kredytu lub pożyczki dopiero od 1 czerwca 2024 r., zatem konsekwencje prawne będą wyciągane wobec zdarzeń, które nastąpią po tej dacie;
  3. zmianę haseł dostępowych, szczególnie dla kont bankowych i poczty elektronicznej;
  4. rozważenie zmiany danych, które uległy ujawnieniu (w szczególności: numer telefonu, adres e-mail);
  5. rozważenie uruchomienia autoryzacji dwuskładnikowej dla kont online (bankowość online, poczta elektroniczna, portale społecznościowe),
  6. powiadomienie o możliwym wycieku danych instytucji finansowych, które mogą zaproponować dodatkową ochronę lub monitorowanie konta (np. zastrzeżenie dokumentu tożsamości w banku, w którym posiadacie Państwo rachunek bankowy);
  7. zachowanie szczególnej ostrożności w sytuacji odbierania połączeń telefonicznych lub wiadomości SMS od nieznanych numerów telefonów;
  8. ignorowanie nieoczekiwanych wiadomości, w szczególności od nieznanych nadawców, w tym zwrócenie szczególnej uwagi na podejrzane wiadomości e-mail lub telefony, za pośrednictwem których nieuprawnione podmioty mogą próbować wyłudzić dodatkowe informacje, podając się za oficjalne źródło w związku z wyciekiem danych (tzw. phishing).

 

7.  Dlaczego dane Pacjentów były przetwarzane przez Medily?

Medily jest dostawcą oprogramowania AURERO, które służy do zarządzania danymi pacjentów oraz wizytami lekarskimi. FutureMeds korzystało z AURERO w okresie od 5 marca 2020 r. do 21 października 2021 r. Od 2021 r. FutureMeds korzysta z innego systemu IT.

FutureMeds, jako administrator Państwa danych osobowych, powierzyło ich przetwarzanie Medily – dostawcy systemu AURERO, które stało się obiektem cyberataku. Powierzenie przetwarzania danych jest standardową operacją na danych w przypadku korzystania z usług zewnętrznych dostawców systemów informatycznych (np. do obsługi wizyt pacjentów). Taka możliwość jest przewidziana wprost w art. 28 RODO.

W swoim oświadczeniu Medily wskazało, że traktuje sprawę priorytetowo i wdrożyło odpowiednie procedury mające na celu likwidację skutków ataku oraz zagwarantowanie bezpieczeństwa danych w przyszłości.

 

8. Czy dane obecnych Pacjentów FutureMeds są zagrożone?

Aktualnie FutureMeds korzysta z innego oprogramowania do zarządzania danymi pacjentów, które dostarcza odrębny od Medily podmiot, zatem zapewniamy, że Państwa dane są bezpieczne.

 

9. Czy dane Pacjentów są wciąż dostępne?

Według informacji przekazanych przez Medily, link zawierający bazę danych Pacjentów z całej Polski nie jest już aktywny. Zaznaczamy jednak, że FutureMeds nie ma możliwości potwierdzenia, że Państwa dane zostały trwale usunięte i w tym zakresie polegamy na informacjach przekazywanych przez Medily.

 

10. Kto wykradł dane Pacjentów?

Z przekazanych informacji wynika, że na moment publikacji komunikatu sprawca nie jest znany i trudno ocenić skutki tego zdarzenia.

20 marca 2024 r. Medily zgłosiło podejrzenie popełnienia przestępstwa związane z wyciekiem danych, a obecnie odpowiednie instytucje prowadzą czynności wyjaśniające. Komisariat Policji Wrocław Śródmieście (ul. Grunwaldzka 6, 50-355 Wrocław) zarejestrował sprawę pod sygnaturą JED-46010/24.

FutureMeds deklaruje pełną współpracę z odpowiednimi służbami w celu ustalenia okoliczności zdarzenia oraz zapobieżenia jego negatywnym skutkom.

 

11. Masz więcej pytań? Skontaktuj się z nami

W przypadku jakichkolwiek pytań lub wątpliwości zachęcamy do kontaktu z naszym Inspektorem Ochrony Danych lub zespołem powołanym do obsługi zaistniałego naruszenia:

 

adres e-mail: alert@futuremeds.com

infolinia: 71 394 08 10