ALAB Laboratoria oficjalnie potwierdza wyciek danych

Na naszych łamach informowaliśmy w poniedziałek o wycieku danych medycznych Polek i Polaków, których bezpieczeństwo zostało naruszone w wyniku incydentu. Jego ofiarą stała się firma ALAB Laboratoria, świadcząca usługi z zakresu diagnostyki medycznej. Dane ujawniła grupa cyberprzestępcza atakująca z wykorzystaniem oprogramowania szyfrującego - ransomware.

W poniedziałek po południu ALAB Laboratoria opublikowała oficjalny komunikat dotyczący indydentu, a zarazem - potwierdzający go. Można go znaleźć na stronach internetowych spółki.

Zmasowany atak

Jak informuje ALAB Laboratoria, do próby „zmasowanego ataku na serwery spółki” doszło 19 listopada 2023 r. W wyniku tego incydentu ustalono, że dostęp do danych na serwerach mogły zdobyć nieuprawnione do tego osoby.„Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką” - czytamy w komunikacie.

Naruszone dane medyczne

Firma ALAB Laboratoria przyznała, że doszło do wycieku wyników badań. Wyciekły więc bardzo wrażliwe dane - dane medyczne pokrzywdzonych w wyniku incydentu osób.

Jak poinformowała w swoim komunikacie spółka, oprócz wyników badań, doszło również do wycieku danych takich, jak: imię i nazwisko, numer PESEL, data urodzenia, a także miejsce zamieszkania pacjentów.

„W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania” - dodała firma. ALAB Laboratoria powiadomiła także o wycieku Prezesa Urzędu Ochrony Danych Osobowych, uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), jak i złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.

W firmie zlecono wewnętrzny i zewnętrzny audyt bezpieczeństwa oraz uruchomiono monitoring internetu, który ma pomóc stwierdzić, czy doszło gdzieś do wykorzystania bezprawnie pozyskanych danych.

Jakie zagrożenie dla pacjentów?

ALAB Laboratoria informuje pokrzywdzone osoby, że wyciek może mieć dla nich bardzo negatywne konsekwencje. W oficjalnym komunikacie wskazuje na przykład na:

• uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
• uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
• korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa;
• wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa;
• zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Co zrobić, gdy moje dane wyciekły?

Firma rekomenduje, aby osoby pokrzywdzone w wyniku incydentu:

• założyły konto w systemie informacji kredytowej i gospodarczej po to, aby monitorować swoją aktywność internetową;
• zachowywały szczególną ostrożność przy podawaniu danych osobowych innym osobom, szczególnie przez internet lub telefon;
• zgłosiły fakt naruszenia danych właściwym organom, aby zapobiec kradzieży tożsamości;
• zastrzegły swój numer PESEL.

O tym, jak zastrzec PESEL, pisaliśmy na CyberDefence24.pl w tym tekście.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].