Trwa ładowanie...
Notowania
Przejdź na
oprac. KRO
|
aktualizacja

Ogromny wyciek danych pacjentów. Hakerzy grożą firmie i dają jej czas na zapłatę okupu

24
Podziel się:

Firma ALAB Laboratoria mierzy się ze skutkami ogromnego wycieku danych. Hakerzy opublikowali dane medyczne co najmniej kilkudziesięciu tysięcy Polek i Polaków, którzy w latach 2017-2023 wykonywali badania medyczne w tej sieci. Dali też termin zapłaty okupu. W przeciwnym wypadku opublikują pełne dane.

Ogromny wyciek danych pacjentów. Hakerzy grożą firmie i dają jej czas na zapłatę okupu
Wyciek danych pacjentów ALAB Laboratiora. Hakerzy żądają okupu (East News, FOT. LUKASZ KACZANOWSKI/POLSKA PRESS)

O sprawie informuje serwis zaufanatrzeciastrona.pl. Z ustaleń dziennikarzy wynika, że doszło do ataku hakerskiego na firmę ALAB, która jest jedną z największych ogólnopolskich sieci laboratoriów medycznych.

Hakerski atak na ALAB Laboratoria

Za włamanie odpowiada szerzej nieznana grupa RA World. Hakerzy ogłosili, że dokonali skutecznego włamania do baz danych ALAB. Na dowód opublikowali na swoim blogu próbkę wykradzionych informacji. Znalazły się w nich m.in. wyniki ponad 50 tysięcy badań medycznych.

Serwis podaje, że według hakerów firma nie przekazała im okupu, dlatego też opublikowali część posiadanych przez siebie danych. Grożą zarazem, że opublikują pełny zbiór, jeżeli do 31 grudnia firma nie spełni ich żądań.

Dalsza część artykułu pod materiałem wideo

Zobacz także: Głośne "nie" dla atomu. Powód? Bo za drogi. "Myśliwce też kosztują, ale dają bezpieczeństwo"

W wykradzionych danych są: imiona, nazwiska, numery PESEL oraz adresy klientów. Przestępcy posiadają też informacje o: datach oraz godzinach zlecenia i wykonania badania, jak i numeracji umożliwiającej ich identyfikację w systemach ALAB. Dzięki nim można dostrzeć do wszystkich wyników badań pacjentów - od cytologii po hematologię.

W wykradzionych danych są imię, nazwisko, PESEL oraz adres klienta. Dodatkowo podane są także data oraz godzina zlecenia i wykonania badania, jak i numeracja umożliwiająca identyfikację badania w systemach ALAB. Można dotrzeć do wszystkich wyników badań pacjenta – od cytologii po hematologię.

Jest komunikat firmy ALAB

W reakcji firma opublikowała oświadczenie. Publikujemy je w całości:

W dniu 19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką.

Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.

Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci Internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych.

Szczegółowa analiza możliwych negatywnych konsekwencji incydentu dla klientów i partnerów spółki wraz z rekomendowanymi działaniami znajduje się poniżej.

Wszelkie informacje oraz pytania dotyczące incydentu można należy zgłaszać pod adresem mailowym: iod@alab.com.pl lub na poniższe dane kontaktowe:

Spółka pragnie zapewnić, że sprawa jest traktowana priorytetowo i z najwyższą powagą. Głównym celem Spółki jest wyjaśnienie incydentu we współpracy z uprawnionymi instytucjami publicznymi.

Możliwe negatywne z punktu widzenia klientów konsekwencje incydentu:

  • uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,
  • uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL,
  • korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa,
  • wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,
  • zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Rekomendowane działania mogące zminimalizować szkodliwość takich konsekwencji:

  • założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie "kopii danych", którą mamy prawo uzyskać od BIK,
  • zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu,
  • zgłoszenia faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. "kradzieży tożsamości"
  • Zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl Poprzez zalogowanie się do systemu, wejście do sekcji "Twoje dane", potem Rejestr Zastrzeżeń PESEL i wybrać "Zastrzeż PESEL" lub "Cofnij zastrzeżenie".

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl
Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.
Źródło:
money.pl
KOMENTARZE
(24)
WYRÓŻNIONE
aga
rok temu
pozew zbiorowy przeciwko Alab tylko i wylacznie
aga
rok temu
Poszkodowani maja pilnować, żeby ich dane nie zostały wykorzystane w niecnych celach ??? a gdzie odpowiedzialność firmy za dopuszczenie do włamania !!!! no i chyba należałoby powiadomić osoby poszkodowane o zagrożeniu, prawda ?
StudentkaDzie...
rok temu
Autor artykułu powinien lepiej weryfikować informacje, które zamieszcza w tekście. Wyżej wymieniony komunikat ALAB pochodzi z 2018 roku. Firma nie wystosowała jeszcze oficjalnego stanowiska. Weryfikacja zajęła mi 30 sekund. Śmieciowe dziennikarstwo. Pozdrawiam, studentka dziennikarstwa.
NAJNOWSZE KOMENTARZE (24)
Cvb
6 miesięcy temu
Po co RODO jak przecieki jak rury kanalizacyjne!
sdgf
7 miesięcy temu
Zastrzeż PESEL ;-) To będzie działało od czerwca 2024.
Posok
10 miesięcy temu
Ta firma powinna zniknąć natychmiast z rynku a wierchuszka powinna odpowiadać za niewłaściwe zabezpieczenie i złamanie zasad RODO na niebotyczną skalę.
mors
rok temu
czy tu chodzi tylko o pacjentów po badaniu krwi?
Magda
rok temu
moje dane wyciekły, jest chętny/chętna na pozew zbiorowy ?
...
Następna strona