Během standardních aktualizací a úprav na testovacích serverech (mail) bylo 12. září 2013 zaměstnancem informatiky spozorováno nestandardní chování serverů. Projevovalo se hlavně skrze konzolové připojení (chování podobné chybě popsané jako injektování kódu z memory buferu). Na serverech se vyskytovaly nenadálé chyby a spuštěné aplikace se restartovaly. Zaměstnanec konzultoval na webu dodavatele problémy a dostal se k informacím o celosvětovém problému s distribucí a o možném napojení na např. botnet síť. Botnet je slangové pojmenování sítě softwarových robotu (botů), kteří provádějí autonomně konkrétní činnost. Síť může být poté využívána legálně (distribuované výpočty) nebo nelegálně (DoS útoky). (TZ)
Nebylo možné v daném okamžiku s určitostí odhalit možné důsledky napadení a hloubku průniku. Informatik proto vypnul celý produkční systém od internetu a odstavil virtualizační prostředí. Jelikož průnik do virtuálního testovacího serveru by znamenal, že útočník by měl již možnosti útočit na produkční systémy, které nejsou připojeny k internetu. Během noci a dopoledne se pracovalo na zajištění stop a zprovoznění serverů. Probíhal podrobný scan přístupů, procházely se logy o činnostech, porovnávaly se se zálohami. Po dohodě s provozně-technickým náměstkem se kontaktoval Národní bezpečnostní úřad, jako jeden z možných prostředků pro zjištění aktuální situace na internetu (napadení jiných organizací atd.). Nemocnici byla zapůjčena IPS sonda TippingPoint pro sledování případných útoků.
„V rámci vyšetřování logů a nasbíraných dat se nakonec ukázal průnik do nemocnice jako planý. Na všech produkčních i zálohovacích serverech byla učiněna inspekce přístupů a nebyl nalezen žádný neoprávněný přístup v daném čase,“ potvrdila ředitelka Nemocnice Na Bulovce MUDr. Zuzana Bonhomme Hankeová, M.I.B.
Díky chybám v balíčkovacím systému se po aktualizaci stal testovací server sice napadnutelným, ale potenciální útočník se k samotnému průniku nedostal. Dle indícií se nejednalo o mířený útok, ale o všeobecně zneužitelnou chybu. Oba servery byly odstaveny od provozu a po vydání aktualizací se pokračovalo v dalším vývoji. Ze strany nemocnice byly učiněny všechny kroky minimalizující další možnosti potencionálních útoků.