Incydent naruszenia danych osobowych w sieci ALAB Laboratoria, która zajmuje się wykonywaniem badań medycznych. Z wydanego dzisiaj wieczorem komunikatu wynika, że 19 listopada zaobserwowano próbę zmasowanego ataku na serwery spółki. Jak poinformowano, w efekcie "dostęp do danych części pacjentów (...) mogły uzyskać osoby nieuprawnione". Wcześniej serwis Zaufana Trzecia Strona informował, że do internetu trafiło ponad 50 tys. wyników badań medycznych.

ALAB Laboratoria wydał komunikat, w którym poinformował o "incydencie naruszenia danych osobowych". Jak przekazano, jest on wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu.

Jak podkreślono, 19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. W efekcie dostęp do danych części pacjentów mogły uzyskać osoby nieuprawnione.

"Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania" - podkreślono w komunikacie.

Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia, a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości.

"Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych" - napisano.

W Ministerstwie Zdrowia nasz reporter ustalił, że resort monitoruje tę sprawę z Centrum E-zdrowie.

Skutki ataku odczuje kilkadziesiąt tysięcy osób?

Wcześniej serwis Zaufana Trzecia Strona informował, że grupa hakerska RA World opublikowała na swoim blogu informację o włamaniu do firmy ALAB, a także próbkę wykradzionych danych, zawierającą wyniki ponad 50 tys. badań medycznych.

W sieci udostępniono linki, za pomocą których można pobrać dwa pliki - 5 GB danych zawierających skompresowane wyniki badań pacjentów, a także 1 GB dokumentów umów zawieranych przez firmę ALAB.

Wyniki - jak podał serwis Zaufana Trzecia Strona - zawierają dane osobowe pacjentów takie jak imiona, nazwiska, numery PESEL i adresy zamieszkania. Dokumenty zawierają też m.in. nazwy podmiotów zlecających badania, daty i godziny zlecenia.  

Jak informuje serwis Zaufana Trzecia Strona zakres badań, których wyniki udostępniono w internecie, obejmuje praktycznie wszystkie badania laboratoryjne, jakie da się przeprowadzić - od hematologii, przez biochemię, immunochemię, po posiewy czy cytologię.

Hakerzy mogą ujawnić kolejne dane

Hakerzy, którzy stoją za tym atakiem, informują, że publikacja próbki danych nastąpiła z powodu "braku chęci współpracy firmy ALAB". Przestępcy nie otrzymali od przedsiębiorstwa okupu. Grupa grozi jednocześnie, że 31 grudnia opublikuje pełny zbiór wykradzionych danych, który ma liczyć 246 GB.

ALAB Laboratoria podaje, że możliwe negatywne z punktu widzenia klientów konsekwencje incydentu to: 

  • uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,
  • uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL,
  • korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego, co z kolei uniemożliwiałoby osobom,  których dane w sposób nieuprawniony użyto, skorzystanie z przysługującego im prawa,
  • wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,
  • zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych. 

Rekomendowane działania mogące zminimalizować szkodliwość takich konsekwencji: 

  • założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie "kopii danych“, którą mamy prawo uzyskać od BIK,
  • zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu,
  • zgłoszenia faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. "kradzieży tożsamości",
  • zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl poprzez zalogowanie się do systemu, wejście do sekcji "Twoje dane", potem Rejestr Zastrzeżeń PESEL i wybrać "Zastrzeż PESEL" lub "Cofnij zastrzeżenie".
Opracowanie: