Błąd w systemie Medeferu miał „narazić dane pacjentów w NHS na kradzież przez cyberprzestępców”

Brytyjski NHS zapowiedział weryfikację doniesień o rzekomym błędzie bezpieczeństwa w jednym z systemów teleinformatycznych Medeferu, z którym państwowa służba zdrowia Wielkiej Brytanii ma nawiązaną współpracę. Lukę odkryto w listopadzie 2024 roku, jednak dopiero teraz wychodzą na jaw szczegóły związane z niniejszym błędem.

W wywiadzie dla BBC anonimowy haker, który odkrył lukę, pomyślał w pierwszej chwili, że „to, co odkrył, przerastało jego wyobraźnię”. Według jego najlepszej wiedzy luka w systemie brytyjskiego laboratorium medycznego mogła istnieć przez ostatnie sześć lat.

Luka bezpieczeństwa polegała na nieprawidłowo zabezpieczonych systemach API (Application Programming Interface), które pozwalają na wygodniejszą wzajemną integrację systemów teleinformatycznych.

Rzecznik prasowy brytyjskiego NHSu zapowiedział „podjęcie dalszych kroków” wobec Medeferu w przypadku „znalezienia ewentualnych nieprawidłowości”.

Bahman Nedjat-Shokouhi, założyciel i prezes Medeferu, w oświadczeniu przesłanym do BBC stwierdził, że lukę „załatano w 48 godzin” po otrzymaniu zgłoszenia w listopadzie zeszłego roku, a wszelkie doniesienia o ewentualnej kradzieży danych pacjentów są „nieprawdziwe”.

Alan Woodward z Uniwersytetu Surrey po weryfikacji dowodów przesłanych przez hakera odpowiedzialnego za odkrycie luki, stwierdził, że Medefer „owszem podejmował się wszelkich środków zabezpieczających zawartość bazy danych z jej szyfrowaniem włącznie”, ale jeżeli istniałaby możliwość „oszukania systemu autoryzacji”, to „każdy, kto wiedziałby, jak to zrobić, mógłby mimo tego uzyskać dostęp do wrażliwych danych pacjentów”.

Źródła

Zdjęcie tytułowe pochodzi ze strony cybernews.com i zostało ono zrobione przez Cate Gillon. Treść artykułu powstała na podstawie następujących źródeł tekstowych i/lub audiowizualnych:

• Software bug at firm left NHS data 'vulnerable to hackers’, opublikowany w serwisie bbc.com przez Bena Morrisa w dniu 10.03.2025