Evropský rozhled

Zdravotní pojišťovna zveřejnila jména svých klientů

 
I am the hacker enter my world
 
Některé velké instituce mají stále problémy se zabezpečením dat o svých klientech. Nyní jedna z českých zdravotních pojišťoven nevědomky zveřejnila na internetu jména svých klientů spolu s čísly průkazu zdravotního pojištěnce. O jakou jde pojišťovnu z pochopitelných důvodů nelze sdělit, neboť informace o klientech jsou stále k dohledání.

Tentokrát se závažná bezpečnostní díra objevila u nástroje k ověření platnosti průkazů zdravotního pojištěnce. Přes tento nástroj si klienti ověřují, do kdy jim průkaz platí, a lékaři si mohou snadno ověřit, jestli je klient stále vedený u dané pojišťovny nebo používá průkaz bývalé pojišťovny, případně falzifikát.

Jediné, co k tomu potřebujete, je opsat číslo průkazu do webového formuláře a následně se vám objeví další informace o pojištěnci. Mezi takové údaje patří jméno, příjmení, datum platnosti karty a číslo karty pojištěnce. A z těchto údajů lze odvodit další informace – především že daná osoba je pojištěná právě u této pojišťovny a že klient pracuje v pracovním sektoru, na který se pojišťovna zaměřuje, nebo má někoho takového v blízkém příbuzenském vztahu.

Čísla zdravotních průkazů jsou ovšem generována sekvenčně a případnému hackerovi nebrání, aby si tímto způsobem opatřil informace i o klientech, jejichž průkaz se mu fyzicky nikdy nedostal do rukou.

Ze zkušenosti víme, že i po opakovaném upozornění na bezpečnostní díru české instituce nepřijmou žádná opatření, která by dalšímu úniku dat zabránila. Máme tu tak bezpečnostní složky, které skrze veřejné pgp keyservery zveřejňují jména svých zaměstnanců a názvy utajovaných operací, ale také zásilkové služby, které si dělají časový přehled, kdy doma klienta nezastihly a byt je tak vhodný například pro návštěvu bytaře.