eCzat LUX MEDu z dziurami

Przez kilka dni można było bezkarnie czytać zapisy rozmów klientów LUX MEDu z lekarzami – pisze popularny serwis o bezpieczeństwie w sieci „Zaufana Trzecia Strona”.

Przez kilka dni można było bezkarnie czytać zapisy rozmów klientów LUX MEDu z lekarzami – pisze popularny serwis o bezpieczeństwie w sieci „Zaufana Trzecia Strona” [1]. Okazało się, że problem nie dotyczył systemu call center[1], a niezależnego komponentu…

W plikach JSON bez problemu można było odczytać dane osobowe pacjentów i lekarzy oraz samą treść rozmowy. Zdaniem ekspertów serwisu – każdy zalogowany klient otrzymywał cały zapis prowadzonej aktualnie komunikacji.

Lux Med w opublikowanym na stronie Zaufanej Trzeciej Strony oświadczeniu potwierdził, że najprawdopodobniej już 27 października można było „podsłuchiwać” rozmowy.

Potwierdzamy, że 07 listopada 2017 r. o godz. 20:15 wykryto problem w komponencie zarządzającym komunikacją chatów tekstowych dostępnych w Portalu Pacjenta.
W jego wyniku uwierzytelniony i zalogowany do konsultacji online użytkownik usługi eChat, korzystający z narzędzia do podsłuchiwania ruchu przeglądarki, miał techniczną możliwość uzyskania dostępu do imienia i nazwiska oraz treści komunikatu maksymalnie 10 aktywnych konsultacji online innych użytkowników.
Zgodnie z posiadaną wiedzą oraz wykonaną analizą, ryzyko naruszenia praw osób trzecich określiliśmy na poziomie niskim, gdyż wykorzystanie istniejącej podatności było możliwe w przypadku jednoczesnego zaistnienia trzech czynników:
a) Uwierzytelnienia II poziomu użytkownika Portalu Pacjenta oraz uruchomienie przez niego usługi eChat
b) Intencji i umiejętności tego użytkownika do podsłuchiwania ruchu w przeglądarce internetowej
c) Aktywnej sesji innego użytkownika usługi eChat.
Niezależnie od powyższego, usługa chatów została wyłączona 08 listopada o godz. 11:30., a odpowiednia korekta konfiguracyjna została wprowadzona w ciągu kilku następnych godzin. Wciąż prowadzone jest wewnętrzne dochodzenie, mające na celu potwierdzenie przyjętej oceny ryzyka.
Przyczyną nieprawidłowości była występująca od ostatniej aktualizacji (27.10.2017) błędna konfiguracja mechanizmu rozdzielającego wybrane typy komunikatów pomiędzy kanałami prywatnym oraz systemowym w ramach zestawionego połączenia pomiędzy przeglądarką a serwerem komunikacyjnym usługi eChat.

Ponieważ system call center dostarcza jedna ze znanych firm informatycznych, aby rozwiać wątpliwości zapytaliśmy LUX MED, kto ponosi odpowiedzialność za powstały błąd. Otrzymaliśmy odpowiedź z biura prasowego firmy:

Wykryty i usunięty błąd nie dotyczył systemu Call Center. Usługa eChat jest niezależnym komponentem wykorzystywanym w Portalu Pacjenta, dostarczonym przez firmę zewnętrzną pochodzącą spoza Polski.

[1] Źródło
Słownik
1. call center. Firma lub dział w firmie zajmujący się telefoniczną obsługą klienta realizowaną przez przeszkolonych pracowników (telemarketerów, konsultantów, agentów). Obsługa…
Add a comment

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *