W poniedziałek sieć laboratoriów ALAB przyznała, że doszło do "próby zmasowanego ataku" (hakerskiego) i wycieku wielu wrażliwych danych na temat pacjentów. Imiona i nazwisko, adresy zamieszkania i numery PESEL osób, które wykonywały badania w placówkach medycznych (a te trafiły do analizy w ALAB) są w rękach hakerów, a część z danych opublikowali oni w sieci.
Jak sprawdzić, czy padłem ofiarą wycieku danych z ALAB?
Na początek warto zaznaczyć, że do tej pory hakerzy odpowiedzialni za atak opublikowali w sieci jedynie próbkę danych zawierającą ok. 55 tys. wyników badań laboratoryjnych. To przekłada się na nieco ponad 50 tys. pacjentów, których dane ujawniono. Jak zauważył serwis Niebezpiecznik.pl, do próbki wybrano jedynie badania zlecone przez trzy placówki medyczne - po jednej z Łomianek, Warszawy i Łodzi. Badania pochodzą też z różnych okresów, najstarsze rekordy sięgają października 2017, a najnowsze września 2023 roku.
Biorąc to pod uwagę, można założyć, że wszystkie osoby, które w tym okresie nie zlecały wykonania badań medycznych w ALAB w tych trzech miastach, są bezpieczne. Przynajmniej na razie, bo hakerzy straszą, że posiadają jeszcze 246 GB danych i opublikują je do końca roku. Wspomniana próbka miała być pokazem możliwości, do którego doszło z powodu "braku chęci współpracy" ze strony ALAB (hakerzy najpewniej nie dostali żądanego okupu) - pisała Zaufana Trzecia Strona.
Jeśli jednak wykonywaliśmy jakiekolwiek badania laboratoryjne w tych miastach i we wspomnianym okresie, zdecydowanie warto sprawdzić, czy nasze dane znajdują się w paczkach udostępnionych w sieci. Na szczęście można to łatwo zrobić przy pomocy rządowego narzędzia bezpiecznedane.gov.pl. Zarówno Janusz Cieszyński (były już minister cyfryzacji), CERT Polska i Centralny Ośrodek Informatyki potwierdzili, że serwis został zaktualizowany o dane pochodzące z tego wycieku.
Korzystanie z narzędzia jest bardzo proste, a cała operacja zajmuje kilka minut. Strona wymaga jedynie zalogowanie poprzez Profil Zaufany, po czym porównuje nasz numer PESEL z tymi w wykradzionych bazach danych. Warto pamiętać, że narzędzie pokazuje jedynie, czy dane wyciekły (a nie pełen zestaw wykradzionych informacji) oraz zawiera jedynie dane, które już zostały opublikowane przez hakerów. Jeśli zatem złodzieje opublikują kolejne dane, weryfikację trzeba będzie powtórzyć.
Co może się zdarzyć? Ludzie boją się o swoje numery PESEL
Niestety zagrożenie jest realne, bo do sieci dostały się bardzo szczegółowe dane osobowe pacjentów. I nie chodzi o to, że ktoś będzie mógł podejrzeć wyniki naszych badań, sprawdzi kiedy i gdzie je zlecono i jaki lekarz to zrobił. Dane zawarte w plikach umożliwiają (albo przynajmniej pomagają) oszustom we wzięciu pożyczek i kredytów online na cudze dane. Można więc nagle obudzić się z poważnym problemem.
Poza tym zagrożeniem są też wszystkie inne skutki kradzieży tożsamości - przestępcy mogą m.in. próbować wyłudzić środki z ubezpieczenia na nasze dane, odebrać duplikat naszej karty SIM lub zarejestrować na nas numer pre-paid i wykorzystywać go w nielegalnych celach. Nic zatem dziwnego, że internauci obawiają się w mediach społecznościowych o swoje numery PESEL, które również znajdują się w paczce.
Gwoli ścisłości warto zauważyć, że numer PESEL sam w sobie nie jest daną wrażliwą (ale informacje medyczne już tak) i jest powszechnie wykorzystywany. Wraz z innymi informacjami może jednak pomóc oszustom np. we wzięciu chwilówki na konto ofiary kradzieży tożsamości. PESEL często jest też hasłem do dokumentów, które mogą zawierać dane wrażliwe - wyniki badań, wyciąg z konta itp.
Co zrobić, aby nie obudzić się z pożyczką?
Niestety, nie jesteśmy w stanie zrobić wiele. Po pierwsze - jak już wspominaliśmy - warto sprawdzić, czy nasze dane wyciekły. Jeśli tak, można spróbować zgłosić kradzież danych właściwym służbom. Prawo pozwala nam zgłosić kradzież danych policji i ma ona obowiązek wszcząć w takiej sprawie śledztwo. Przestępstwo to można też zgłosić prokuraturze.
Warto też zastrzec swój numer PESEL, co można łatwo zrobić m.in. poprzez aplikację mObywatel lub stacjonarnie - m.in. w urzędzie gminy. Rząd umożliwił zastrzeganie PESEL-u w połowie listopada, ale może nie uchronić nas to przed skutkami kradzieży tożsamości. Wszystko dlatego, że banki, firmy pożyczkowe czy operatorzy telekomunikacyjni będą mieli obowiązek (i możliwość) sprawdzania, czy PESEL klienta jest zastrzeżony dopiero od 1 czerwca 2024 roku (warto jednak zastrzec go zawczasu).
Trzecia metoda to skorzystanie z usług Biura Informacji Kredytowej. BIK pozwala wygenerować raport dotyczący naszych aktualnych zobowiązań oraz wysyła alerty w razie zaciągnięcia pożyczki lub kredytu na dany numer PESEL. Takie alerty warto mieć włączone, nawet jeśli nasze dane osobowe nie wyciekły w żadnym głośnym w ostatnim czasie incydencie. Obie usługi są niestety płatne (alerty 36 zł rocznie), ale dwa razy do roku mamy możliwość złożenia wniosku o bezpłatną kopię danych z raportu BIK.
