Zaufana Trzecia Strona poinformowała w poniedziałek, że do sieci trafiła ogromna paczka zawierająca wrażliwe dane osobowe i medyczne ponad 50 tys. pacjentów w Polsce. Dane wyciekły z serwerów sieci laboratoriów ALAB, z których usług korzysta wiele placówek medycznych w Polsce. W udostępnionym w sieci archiwum znalazły się szczegółowe wyniki badań, wraz z imieniem i nazwiskiem pacjenta, adresem zamieszkania i numerem PESEL. Hakerzy grożą też publikacją kolejnej, zdecydowanie większych pakietów danych.
ALAB wydało komunikat. Widziało o ataku zdecydowanie wcześniej?
Sieć laboratoriów ALAB wydała komunikat w tej sprawie. Firma potwierdziła, że dane, które znalazły się w sieci to prawdziwe wyniki badań wraz z danymi pacjentów. O incydencie poinformowano już odpowiednie urzędy i służby.
Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości
- pisze w komunikacie na temat ataku ALAB.
Laboratorium dodaje, że zlecono już wykonanie "wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych", a także "uruchomiono monitoring sieci Internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych". Firma przyznała też, że wyciek danych to skutek ataku hakerskiego. Dodano, że wykradzione dane przestępcy mogą wykorzystać w niebezpieczny dla pacjentów sposób - m.in. do wzięcia kredytu na cudze dane, wyłudzania środków z ubezpieczeń lub zarejestrowania przedpłaconej karty pre-paid.
Z komunikatu można wywnioskować też, że ALAB widział o wycieku danych już wcześniej. Jak pisze sieć w oświadczeniu, "próbę zmasowanego ataku" na serwery firmy zaobserwowano jeszcze 19 listopada 2023 roku, czyli ponad tydzień temu. Wcześniej ALAB nie informował o możliwym wycieku danych. Sieć nie podaje szczegółów na temat samego ataku, ograniczając się do stwierdzenia, że oszacowano "wartość ryzyka jako wysoką".
W dniu 19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką
- pisze ALAB w oświadczeniu.
Ludzie boją się o PESEL. Największy wyciek danych od lat?
Część internautów w mediach społecznościowych wyraża obawy (słuszne zresztą) o swoje dane, które mogą zostać przede wszystkim wykorzystane do zaciągnięcia pożyczki w imieniu ofiary. Inni wprost piszą, że mamy do czynienia z największą kradzieżą danych od lat. Głos w tej sprawie zabrał późnym wieczorem w poniedziałek były już minister cyfryzacji, Janusz Cieszyński. Opublikował link do rządowego portalu pozwalającego sprawdzić, czy nasze dane również znajdowały się w paczce, którą wykradli hakerzy.
Na produkcję wjechał ostatni produkt z mojej kadencji w MInisterstwie Cyfryzacji - na http://bezpiecznedane.gov.pl możecie sprawdzić, czy Wasze dane wyciekły z ALABu
- napisał Cieszyński na X.
Jak sprawdzić, czy moje dane wyciekły z ALAB?
O tym, że rządowe narzędzie do sprawdzania swoich danych zostało już zaktualizowane o paczkę opublikowaną w niedzielę przez hakerów, poinformował też Centralny Ośrodek Informatyki. Swoje dane można sprawdzić kilkoma kliknięciami, trzeba jedynie zalogować się do portalu poprzez Profil Zaufany.
Firma ALAB radzi natomiast w komunikacie, aby monitorować swoją aktywność kredytową w BIK, zgłosić fakt naruszenia danych właściwym organom w celu zapobieżenia kradzieży tożsamości, zastrzec numer PESEL w serwisie mobywatel.gov.pl i "zachować szczególną ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu".
Gwoli ścisłości warto zauważyć, że numer PESEL nie jest daną wrażliwą (ale informacje medyczne już tak) i jest powszechnie wykorzystywany. Wraz z innymi informacjami może jednak pomóc oszustom np. we wzięciu chwilówki na konto ofiary kradzieży tożsamości. PESEL często jest też hasłem do dokumentów, które mogą zawierać dane wrażliwe - wyciągi z konta, wyniki badań itp.
