Do internetu trafiły wyniki badań medycznych wykonanych przez ostatnie kilka lat w sieci laboratoriów medycznych firmy ALAB. Wyciek jest skutkiem ataku grupy ransomware, a ujawnione dane stanowią podobno jedynie drobną część tego, to wydobyli hakerzy. ALAB potwierdził, że doszło do wykradzenia danych.
Według serwisu zaufanatrzeciastrona.pl szerzej nieznana grupa ransomware RA World opublikowała na swoim blogu nie tylko informację o skutecznym włamaniu do firmy ALAB, ale także próbkę wykradzionych danych, między innymi wyniki ponad 50 tysięcy badań medycznych. W sieci znalazły się dane co najmniej kilkudziesięciu tysięcy pacjentów, którzy w latach 2017-2023 wykonywali badania medyczne w sieci ALAB Laboratoria. “Przestępcy udostępnili linki, umożliwiające pobranie dwóch plików zawierających spakowane dane. Pierwszy to 5GB wyników testów laboratoryjnych, drugi to nieco ponad 1GB umów, zawieranych przez firmę. Z punktu widzenia ofiar dużo ważniejszy jest plik pierwszy” – napisał portal. Hakerzy domagają się okupu od firmy za to, że nie ujawnią wszystkich przejętych danych. Grożą przy tym, że jeśli nie dostaną pieniędzy, do 31 grudnia opublikują wszystkie wykradzione dane.
W związku z wyciekiem, ALAB laboratoria opublikował komunikat, w którym potwierdza, że incydent “jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu”. “19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką” – napisano w komunikacie.
Spółka dodała, że wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. “W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania”.
Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia, a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości. “Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych”.
Naukowa i Akademicka Sieć Komputerowa (NASK) poinformowała, że osoba, której dane zostały upublicznione powinna być przygotowaną i świadomą, że cyberoszuści mogą te dane wykorzystać, ze wzmożoną czujnością podchodzić do maili, wiadomości, telefonów oraz weryfikować ich nadawcę u źródła. Jak przekazała NASK powinna też zastrzec nr PESEL, co pomoże zminimalizować ryzyko związane z nieuprawnionym wykorzystaniem naszych danych np. w banku. “Dodatkowo jeszcze dziś serwis +Bezpieczne dane+ zasilimy już upublicznionymi numerami PESEL. Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane, a ich liczba może się zmienić” – podała NASK.