Do internetu trafiły wyniki badań medycznych wykonanych przez ostatnie kilka lat w jednej z największych ogólnopolskich sieci laboratoriów medycznych, firmy ALAB - donosi Zaufana Trzecia Strona. Wyciek jest skutkiem ataku grupy ransomware, a dane to podobno tylko próbka.
Do sieci wyciekły dane kilkudziesięciu tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci ALAB laboratoria. Sieć współpracuje z wieloma przychodniami, zlecając jej obsługę przeprowadzania badań laboratoryjnych, zatem wielu pacjentów może w ogóle nie kojarzyć, że ich dane są w posiadaniu tej sieci.
Ataku dokonała grupa ransomware RA World, która opublikowała na swoim blogu między innymi wyniki ponad 50 tysięcy badań medycznych, ale też umowy zawierane przez firmę.
Każdy wynik badania zawiera dane osobowe klienta firmy takie jak imię, nazwisko, PESEL oraz adres. Dodatkowo dokumenty zawierają nazwę podmiotu zlecającego badania, daty i godziny zlecenia i wykonania badania, numerację umożliwiającą identyfikację badania w systemach ALAB, a także wszystkie wyniki badania. Dane są łatwe do odczytania praktycznie dla każdego, bo część plików znajduje się w formacie PDF.
Jak informuje zaufanatrzeciastrona.pl, wypuszczone w świat dane to tylko próbka. Ujrzała ona światło dzienne z powodu braku "chęci współpracy ze strony firmy ALAB". Dodatkowo włamywacze zagrozili, że 31 grudnia opublikują pełen zbiór danych, który ma liczyć 246 GB.
ALAB odniósł się do sprawy
W związku z wyciekiem ALAB laboratoria opublikował komunikat, w którym potwierdza, że incydent "jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu". "19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką" - napisano w komunikacie.
Spółka dodała, że wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.
"W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania" - zaznaczono.
Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia, a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości.
"Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych" - napisano.
W ostatnich dniach Polacy otrzymali możliwość zastrzeżenia numeru PESEL. Sytuacja wycieku danych z ALAB to moment, kiedy warto z tej opcji skorzystać.
Na produkcję wjechał ostatni produkt z mojej kadencji w @CYFRA_GOV_PL - na https://t.co/47aPJRh72f możecie sprawdzić, czy Wasze dane wyciekły z ALABu ⤵️ pic.twitter.com/YKu1F3MFvV
— Janusz Cieszyński (@jciesz) November 27, 2023
KWS
