Liczba wyświetleń: 2373
Autorką niniejszego artykułu i poprzedniej analizy wycieku danych z ALAB Laboratoria jest Valkyria. Autorka nie chce publikować tego artykułu pod swoim imieniem i nazwiskiem.
RA World odgrażał się, że ujawni prywatne dane (wyniki badań), gdy nie dostanie pieniędzy z wymuszonej zapłaty. ALAB Laboratoria prawdopodobnie nic nie zrobiły dla pacjentów, by ich dane nie stały się publiczne, bowiem na darknetowej stronie pojawiły się już dane z wynikami pacjentów, wynikami analiz oraz dokumenty księgowe Alabu. Jest to tajemnica ich przedsiębiorstwa, prawdopodobnie najcenniejsza, bowiem pozwala na dowiedzenie się, ile kosztuje prowadzenie takiego laboratorium, jakie są potrzebne dokumenty, zanim się podejmie decyzję o prowadzeniu tego typu działalności. Dokumenty też zawierają szczegółowe informacje o pracownikach i informacje o kontrahentach, co ułatwić powinno start w biznesie.
Przypomnę, jak pisałam już w poprzednim artykule, wystarczyło zastosować zabezpieczenia znane od minimum roku 1976. Standardy przechowywania danych medycznych w ALAB Laboratoria nie odpowiadały więc nawet stanowi wiedzy na rok 1980. Jak to świadczy o programistach, którzy napisali im oprogramowanie?
Tworząc oprogramowanie zawsze dbam o zastosowanie PKI tam, gdzie to jest możliwe (gdy dane mają charakter poufny). Szyfrowanie algorytmami Rabina, RSA oraz ElGamala jest to coś, co powinno być powszechnie dzisiaj używane nie tylko do zabezpieczania danych medycznych, ale także naszej prywatnej korespondencji. W takim scenariuszu – dane szyfrowane przed wysłaniem poprzez Google, Microsoft czy też Apple – nie podlegałyby ujawnieniu firmom trzecim, bowiem informacja jest widoczna tylko dla osób znających klucz. Mimo wiedzy i umiejętności pozostaję bez pracy, ponieważ odmawiam pokazywania twarzy na MS Teams.
W ALAB‑ie jednak nie zawiódł sam brak zastosowania PKI, ale nieprzydzielenie pojedynczego klucza każdemu użytkownikowi [lub wręcz jednemu sprawozdaniu – przyp. red.] i niezaszyfrowanie np. najprostszym algorytmem – AES – danych tym kluczem. Ważniejsze było, aby SZYBCIEJ I WYGODNIEJ pobierało się dane tylko po znajomości numeru PESEL.
Wspomnieć należy też o obecności na stronie ALAB (jak też innych laboratoriów, np. Diagnostyki Warszawskiej) skryptów Google Analytics i Google Captcha – po(d)miotu Google – który jest znany z tego, że podsłuchuje swoich użytkowników Androida – „bo tak jest lepiej”.
Drodzy Rezylianie, kiedy zaczniecie w końcu mieć coś do ukrycia i zaczniecie protestować przed Ministerstwem Zdrowia przeciwko upublicznianiu w kontrolowanym wycieku waszych danych medycznych? Kiedy zaczniecie używać komunikatorów szyfrowanych, gdzie tylko Wy macie dostęp do kluczy kryptograficznych, czyli takich, gdzie musicie się zalogować z użyciem dodatkowego pliku z kluczem? Kiedy włączycie GPG w obsłudze swojej poczty?
Kontrolowany wyciek?
Nie da się użyć innego słowa, gdy nie chce się używać nowomowy. Nie jest bowiem tajemnicą, że wszystkie dane zbierane w dużych biznesowo ważnych bazach danych wyciekną i jest to pewne na 100%. Nie jest znana tylko godzina, kiedy to się stanie. Każde oprogramowanie jest pełne dziur. Mozilla Firefox ma już ponad 1800000 błędów, z czego część naprawiono. Google Chrome, które istnieje krócej, ma ich już ponad milion.
W drodze protestu polecam:
– napisać do Ministerstwa Zdrowia wniosek o udostępnienie w przepisach krajowych możliwości prowadzenia dokumentacji w wersji papierowej, która jest sto razy bezpieczniejsza od wersji elektronicznej (jej wykradnięcie wymaga fizycznej obecności, co już samo w sobie zwiększa bezpieczeństwo);
– napisać do Ministerstwa Pracy, aby pracownicy mogli żądać od pracodawcy przedstawienia w grupie pod pseudonimem, który pracownik sobie sam nada (pseudonim uniemożliwi menedżerom i kolegom czytanie już upublicznionych wyników badań medycznych);
– Napisać do MSWiA żądania wydłużenia numeru PESEL i możliwości zmieniania go, jak rękawiczki, wraz ze zmianą imienia i nazwiska po każdym wycieku elektronicznych danych medycznych (Zmiana imienia i nazwiska ma sens tylko wraz ze zmianą numeru PESEL);
– wyprowadzić się z tego kraju do państwa, które ma większe poważanie dla danych osobowych, np. do Niemiec, gdzie firmy (np. call center) już dawno umożliwiają swoim pracownikom przedstawianie się innym „nazwiskiem” (wyprowadzka powoduje, że nie musimy już używać numeru PESEL, a zamiast tego używamy zagranicznego odpowiednika, toteż wyniki badań po zmianie nazwiska i wyprowadzce i uzyskaniu krajowego identyfikatora innego niż PESEL przestają być łatwo kojarzone z osobą).
Baza międzynarodowa
Powstaje już międzynarodowa przestrzeń dla danych medycznych w Unii Europejskiej (lub jak kto woli w Eurokołchozie). Czy dane tam będą bezpieczne, czy może jest to kolejna zbędna i przymusowa baza danych do kontrolowanych wycieków? Po tym, jak w ostatnim głosowaniu stwierdzono, że państwa członkowskie będą mogły przydzielić prawo do sprzeciwu przeciwko „e”, a nie dać prawo już wprost każdemu mieszkańcowi Eurokołchozu, odpowiedź nasuwa się sama: wiele obywateli UE nie otrzyma takiego prawa, a jego dane medyczne kiedyś wyciekną. Wtedy, kiedy będą komuś pilnie potrzebne.
Dlaczego jest tak mało protestów przeciwko temu? Dlaczego von der Leyen, Rothschildowie i hakerzy muszą wszystko o nas wiedzieć, a my o nich nic nie możemy wiedzieć? Czemu mamy mniejsze prawa od przestępców?
Obudźcie się w końcu i przestańcie się zachowywać w tramwajach i metrze, jak covidowe gołębie dziobiące okruszki nienormalności na wypożyczonych wam smartfonach i tabletach.
Link
Strona raworlddecssyq43oim3hxhc5oxvlbaxuj73xbz2pbbowso3l4kn27qd.onion w darknecie na dzień publikacji niniejszego artykułu zawiera 92.8 GB danych w postaci umów, wyników badań, danych o pracownikach i innych. Do otwarcia tej witryny potrzebna jest przeglądarka Tor Browser.
Autorstwo: Valkyria
Źródło: Wolne-Forum-Transowe.pl