O kradzieży danych przez hakerów oraz ujawnieniu ich na forum cyberprzestępczym DCG Centrum Medyczne poinformowało swoich pacjentów za pomocą SMS-a.
DCG wydało także aktualizowane oświadczenie, w którym wyjaśnia przebieg i tło zdarzenia.
Oto jego fragmenty:
- "Zdarzenie polegało na złamaniu zabezpieczeń, ataku hackerskim i kradzieży danych osobowych m.in. pacjentów DCG, które były przetwarzane przez Medily Sp. z o.o. w testowej wersji platformy auroero.com.Oznacza to, że wbrew pojawiającym się nieprecyzyjnym doniesieniom medialnym i prasowym – atak hackerski nie dotyczył infrastruktury / danych osobowych przetwarzanych przez DCG, a był skierowany bezpośrednio na zasoby Medily Sp. z o.o."
- "Co ważne, Medily Sp. z o.o. przetwarzała dane osobowe naszych pacjentów wbrew wiedzy i woli DCG oraz bez jakiejkolwiek podstawy prawnej. DCG i Medily Sp. z o.o. nie łączą obecnie żadne relacje gospodarcze, a DCG nie przekazuje żadnych danych osobowych do Medily Sp. z o.o."
Pozostałą część oświadczenia można przeczytać na stronie DCG Centrum Medyczne.
Na tej samej stronie można znaleźć odpowiedzi na najczęściej zadawane przez pacjentów pytania.
- Dane nie wyciekły z firmy DCG. Za ich utratę odpowiedzialna jest firma Medily sp. z o.o. która dostarczała oprogramowanie medyczne placówkom medycznym w całej Polsce. DCG korzystało z dostarczonego przez Medily systemu AURERO w okresie 08.2019-01-2021.
- Według Medily sp. z o.o. udostępnienie danych w wyniku przestępstwa nastąpiło 11 marca 2024 roku na forum cyberprzestępczym w sieci TOR.
- Link, pod którym dostępne były dane osobowe został usunięty przez Medily sp. z o.o. w dniu, w którym firma dowiedziałą sie o jego obecności.
- Firma zawiadomiła PUODO (Urząd Ochrony Danych Osobowych), a fakt popełnienia przestępstwa został zgłoszony do organów ścigania. Firma Medily sp. z o.o. zmieniła hasła oraz została przez DCG zobowiązana do trwałego usunięcia danych pacjentów ze swoich systemów.
O jakie dane chodziło?
- dane identyfikacyjne i teleadresowe pacjentów (imię i nazwisko, pesel, dane adresowe i dane kontaktowe),
- w przypadku osób, które korzystały z usług DCG w dniu 23.08.2019 oraz w okresie między 29.08-04.09.2019 także danych dotyczących zdrowia, w tym informacji o wizytach lekarskich (data wizyty, wywiad medyczny, opis badania przedmiotowego, zalecenia po wizycie, recepta, imię i nazwisko specjalisty).
Co mogą zrobić pacjenci?
DCG Centrum Medyczne ostrzegło pacjentów o tym, że choć dotąd nie ma takich sygnałów, kradzież danych umożliwia przestępcom podszywanie się pod ofiary kradzieży, np. po to, by zaciągnąć w ich imieniu kredyt w instytucjach pozabankowych, a także może posłużyć do wyłudzania od nich dodatkowych informacji, np. danych do logowania.
W związku z tym zaleca:
- zastrzeżenie numeru PESEL,
- zachowanie wszelkiej ostrożności w kontaktach z nieznajomymi osobami lub instytucjami, które mogą próbować wyłudzać dane osobowe na bazie informacji pozyskanych w wyniku naruszenia,
- niepodawanie loginów lub haseł w podejrzanych lub niezaufanych witrynach oraz zachowanie ostrożności przy otrzymywaniu wiadomości (np. mailowych lub SMS) zawierających podejrzane linki lub odnośniki do zewnętrznych stron internetowych, w tym unikanie ich otwierania i zgłaszanie do odpowiednich służb,
- zwracanie szczególnej uwagi na przychodzące wiadomości mailowe, SMS lub korespondencję tradycyjną, z których może wynikać fakt zawarcia przez nas jakiejkolwiek umowy lub prośba o potwierdzenie / weryfikację transakcji, której nie dokonywaliśmy,
- niezwłoczne zgłaszanie Policji wszystkich podejrzeń dotyczących możliwości bezprawnego wykorzystania naszych danych osobowych lub prób wyłudzenia dodatkowych informacji na nasz temat.