Wyciek danych 50 tysięcy Polek i Polaków. ALAB laboratoria złożyło zawiadomienie do Centralnego Biura Zwalczania Cyberprzestępczości

Hakerzy domagają się okupu od ALAB laboratoria po tym, jak nielegalnie przechwycili wyniki badań tysięcy osób. Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych, poinformowała uprawnione instytucje oraz złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości.

Wyciek danych z ALAB laboratoria

W poniedziałek portal zaufanatrzeciastrona.pl poinformował o tym, że do sieci trafiły wyniki badań osób, które wykonywały testy medyczne w sieci ALAB laboratoria w latach 2017-2023. Jak czytamy w komunikacie, za atak odpowiedzialna jest grupa ransomware RA World, która włamanie potwierdziła na swoim blogu. Zgodnie z informacją, cyberoszuści nielegalnie dane na temat wyników badań 50 tysięcy osób. Przechwycone dane medyczne obejmują niemal wszystkie badania laboratoryjne, od hematologii, przez biochemię, immunochemię, po posiewy i cytologię. Hakerzy teraz domagają się okupu za nieujawnienie przejętych informacji. W przeciwnym razie opublikują pełny zbiór wykradzionych danych, który ma liczyć 246 GB.

ALAB laboratoria potwierdził atak internetowy i wyciek danych.

„19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką” – poinformowała spółka.

W komunikacie podkreślono także, że osoby trzecie mogły uzyskać dostęp do następujących danych pacjentów ALAB laboratoria: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.

„W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania” – napisano.

Możliwe nielegalne upublicznienie danych

ALAB laboratoria zgłosiło naruszenie do Prezesa Urzędu Ochrony Danych Osobowych i poinformowało o wycieku wrażliwych danych CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia. Spółka niezwłocznie złożyła również zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości.

„Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych” – podkreślono.

Jak poinformowała Naukowa i Akademicka Sieć Komputerowa (NASK), osoby, których dane zostały lub zostaną upublicznione, powinny być świadome tego, że mogą one zostać nielegalnie wykorzystane. W związku z tym należy ostrożnie podchodzić do wszystkich dostarczanych maili, wiadomości i telefonów. Ważne też, by weryfikować nadawcę podejrzanych treści. Warto również zastrzec nr PESEL, co ustrzeże nas przed potencjalnym ryzykiem nieuprawnionego wykorzystania naszych danych np. w banku.

„We współpracy z @COIgovPL w związku ze sprawą ALAB zasililiśmy serwis  https://bezpiecznedane.gov.pl JUŻ upublicznionymi numerami PESEL. Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane i będą aktualizowane” – dodała NASK.

Na stronie można również sprawdzić, czy używany przez nas adres e-mail może być zagrożony przez atak hakerski w sieci laboratoriów ALAB. W tym celu należy zalogować się na stronie za pomocą usługi mObywatel i wpisać w podanym miejscu adres e-mail.

🚨We współpracy z @COIgovPL w związku ze sprawą #ALAB zasililiśmy serwis ➡ https://t.co/34ttpEbC2m JUŻ upublicznionymi numerami PESEL. Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane i będą aktualizowane. Sprawdźcie czy Wasze dane też znalazły się w wycieku!

— CERT Polska (@CERT_Polska) November 27, 2023