Telefon Den 2019-02-18 avslöjar Computer Sweden i en artikel att 2,7 miljoner inspelade samtal till 1177 Vårdguiden har legat helt öppet på en webbserver. Samtalen sträcker sig ända tillbaka till 2013 och totalt finns 170 000 timmar inspelade rådgivningssamtal. Eftersom det rör sig om sjukvårdsrådgivning innehåller samtalen i många fall både personnummer, telefonnummer och hela berättelser om patienternas sjukdomshistoria, mediciner de tar och annan känslig information.

På det YouTube-klipp som gjorts av Computer Sweden ser man att det är en helt öppen server ut mot internet, helt utan lösenord. Samtalen går att ladda hem som vanliga MP3-filer. Det enda som har behövts för att komma åt filerna är IP-adressen till webbservern. IP-adressen har dessutom ett domännamn kopplat till sig, med nas som subdomän. Om man gör ett omvänt uppslag av IP-adressen från YouTube-klippet visar det nas.voiceintegrate.com. Så filerna har gått att nå via både en helt vanlig URL och direkt via en IP-adress.

Det är också just Voice Integrate Nordic som är den underleverantör åt Medhelp som har skött den tekniska biten och servern med filerna. Servern har dock stängts ner sedan Computer Swedens avslöjande.

I en annan artikel från samma dag skriver Computer Sweden också att det inte går att avgöra hur många som kommit åt filerna under de år de har legat på servern.

2019-02-19 skriver Inera om säkerhetsläckan på sin hemsida – och meddelar att det främst berör regionerna Stockholm, Sörmland och Värmland – de regioner som har avtal med leverantören Medhelp. De övriga 18 regionerna använder Ineras system som inte berörs av säkerhetsläckan. Däremot förklarar Inera vidare i artikeln att några av dessa övriga regioner kan ha haft kortare tillfälliga avtal med Medhelp – och därmed använt deras telefonisystem och därför kan vara drabbade av läckan.

2019-02-20 går det att läs på Region Stockholm att vårdgivaren där avslutar avtalet med företaget som ansvarar för den server där säkerhetsläckan inträffat. Vidare går att det läsa att under kvällar, nätter och helger har samtalen kopplats till legitimerade svenska sjuksköterskor som arbetat från Thailand, även om IT-utrustningen stått i Sverige. Det är nu oklart om denna lösningen är rättsligt okej eller inte. Krav i den pågående upphandlingen är därför att tjänsten både ska tillhandahållas och utföras inom Sverige.

2019-02-21 rapporterar DN att Medhelp polisanmäler Computer Sweden.

2019-02-26 rapporterar Medievärlden att polisen inleder en förundersökning mot Computer Sweden efter deras avslöjande om 1177-läckan. Det är företaget Medhelp som polisanmält bland annat chefredaktören på Computer Sweden efter deras avslöjande.

2019-02-27 skriver Region Stockholm att ordföranden i hälso- och sjukvårdsnämnden gett hälso- och sjukvårdsförvaltningen i uppdrag att göra en extern granskning av den del i avtalet med Medhelp som berör informationssäkerhet.

2019-03-04 skriver Datainspektionen att de inleder en tillsyn kring 1177 Vårdguiden. I den här första tillsynen är det företaget Voice Integrate Nordic AB som granskas.

2019-03-06 skriver Computer Sweden att Region Sörmland tar hem vårdrådgivningen i egen regi. Regionens inköpschef meddelar dock att detta inte är ett direkt resultat av säkerhetsläckan.

2019-03-07 meddelar Datainspektionen att de nu inleder granskning även av Inera.

Inera, Medhelp, Voice Intergration och regionerna?

Varje region ansvarar själva för sin verksamhet för sjukvårdsrådgivning. När du ringer till 1177 kopplas du alltså till “din” regions sjukvårdsrådgivning. Inera är det företag som äger varumärket 1177 Vårdguiden och ansvarar för 18 av 21 regioner. De övriga 3 regionerna – Stockholm, Sörmland och Värmland – använder däremot Medhelp som leverantör. Det är alltså hos Medhelps underleverantör Voice Intergration Nordic som säkerhetsläckan inträffat.