REKLAMA
PIT 2023

Hakerzy włamali się ALAB. Do sieci wyciekły dane medyczne kilkudziesięciu tysięcy Polaków

2023-11-27 10:15, akt.2023-11-27 20:06
publikacja
2023-11-27 10:15
aktualizacja
2023-11-27 20:06

Do internetu trafiły wyniki badań medycznych wykonanych przez ostatnie kilka lat w jednej z największych ogólnopolskich sieci laboratoriów medycznych, firmy ALAB - donosi Zaufana Trzecia Strona. Wyciek jest skutkiem ataku grupy ransomware, a dane to podobno tylko próbka.

Hakerzy włamali się ALAB. Do sieci wyciekły dane medyczne kilkudziesięciu tysięcy Polaków
Hakerzy włamali się ALAB. Do sieci wyciekły dane medyczne kilkudziesięciu tysięcy Polaków
fot. Grand Warszawski / / Shutterstock

Do sieci wyciekły dane kilkudziesięciu tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci ALAB laboratoria. Sieć współpracuje z wieloma przychodniami, zlecając jej obsługę przeprowadzania badań laboratoryjnych, zatem wielu pacjentów może w ogóle nie kojarzyć, że ich dane są w posiadaniu tej sieci.

Ataku dokonała grupa ransomware RA World, która opublikowała na swoim blogu między innymi wyniki ponad 50 tysięcy badań medycznych, ale też umowy zawierane przez firmę.

Każdy wynik badania zawiera dane osobowe klienta firmy takie jak imię, nazwisko, PESEL oraz adres. Dodatkowo dokumenty zawierają nazwę podmiotu zlecającego badania, daty i godziny zlecenia i wykonania badania, numerację umożliwiającą identyfikację badania w systemach ALAB, a także wszystkie wyniki badania. Dane są łatwe do odczytania praktycznie dla każdego, bo część plików znajduje się w formacie PDF.

Zaufana Trzecia Strona

Jak informuje zaufanatrzeciastrona.pl, wypuszczone w świat dane to tylko próbka. Ujrzała ona światło dzienne z powodu braku "chęci współpracy ze strony firmy ALAB". Dodatkowo włamywacze zagrozili, że 31 grudnia opublikują pełen zbiór danych, który ma liczyć 246 GB.

ALAB odniósł się do sprawy

W związku z wyciekiem ALAB laboratoria opublikował komunikat, w którym potwierdza, że incydent "jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu". "19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką" - napisano w komunikacie.

Spółka dodała, że wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.

"W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania" - zaznaczono.

Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia, a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości.

"Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych" - napisano.

W ostatnich dniach Polacy otrzymali możliwość zastrzeżenia numeru PESEL. Sytuacja wycieku danych z ALAB to moment, kiedy warto z tej opcji skorzystać.

KWS

Źródło:
Tematy
Kredyt hipoteczny własny kąt 0% prowizji (RRSO: 9,83%)

Kredyt hipoteczny własny kąt 0% prowizji (RRSO: 9,83%)

Komentarze (16)

dodaj komentarz
inwestor.pl
Jak widzimy RODO pomogło w walce z wyciekami danych. :-) Rozumiem, że teraz każdy pacjent dostanie sowite odszkodowanie jak zakłada ustawa, bo są to dane szczególnie wrażliwe?
carlito1
Hehe ciekawe jak cenna będzie baza danych z fakturami :) kto, komu za ile i skąd kupuje.... coś pięknego :)
samsza
Zróbcie wyniki bez PESEL, bez adresu, z imieniem i pierwszą literą nazwiska oraz... nowym ind. identyfikatorem pacjenta.
Nie ma i nie zanosi się na cyberbezpieczeństwo danych, więc coś trzeba robić. Nawet zastrzeżenie nie dopuszcza używania peselu bo tam zaszyta data urodzenia, która identyfikuje.
jenak
Gość pomagający ofiarom cyberataków, które, jak mówi, majątek straciły w weekend, wieszczy, że SI to dopiero popchnie ryneczek na nowy tory. Już zaciera ręce.
zops
Rywalizuj. Masz szansę. Spólka energetyczna oferuje od 2001 roku, dostawy pierwiastka toru jako materiału paliworodnego. Może chwyci jaki?
jenak
Rynek wysoce konkurencyjny, widać.
zops
W takich reaktorach nie używa się pierwiastka toru, masowo zbyt dużo. Chwycił który? No bo mnie się też nie chce.
tomaszektoma
dziwne ze negocjuja z hakerami
wiedza o wlamaniu

a nikt nie poinformowal UODO/GIODO
tomitomi
w sieci zawsze ,ale to zawsze jesteś bezpieczny , inaczej !
pamiętaj o tym !

Powiązane: Zdrowie

Polecane

Najnowsze

Popularne

Ważne linki