Wyciek danych z ALAB. Firma o obecnej sytuacji: „monitorujemy darknet”

Do ataku hakerskiego na ALAB Laboratoria doszło 19 listopada 2023 roku. Kilka dni później media branżowe ujawniły, że doszło do wycieku danych, co firma potwierdziła w komunikacie, przyznając, że chodzi o dane medyczne pacjentów z lat 2017-2023, którzy korzystali z jej usług.

Dopiero w grudniu zorganizowano konferencję dla mediów. Wówczas dowiedzieliśmy się, że wyciekiem danych zagrożonych jest znacznie więcej wyników badań, bo aż 200 tysięcy, w związku z atakiem hakerskim, którego dokonać miała grupa RA World. Mówiono wtedy o „najgorszym możliwym scenariuszu”, ponieważ dane te były na jednym serwerze, gdzie zabezpieczenia zostały złamane.

Jednocześnie w spółce ruszyła kontrola Urzędu Ochrony Danych Osobowych. „W ramach tej kontroli szczegółowo zostaną przeanalizowane zabezpieczenia stosowane przez spółkę, mające na celu ochronę danych” - informował organ.

Natomiast pod koniec grudnia 2023 roku przestępcy opublikowali kolejny zbiór - tym razem zawierający informacje dotyczące pracowników i współpracowników firmy. ALAB potwierdził ten fakt dla CyberDefence24, o czym więcej piszemy w tym tekście.

Groźba ujawnienia kolejnych danych

Kluczową kwestią było żądanie okupu przez hakerów, w zamian za rzekome dalsze nieujawnianie danych. Trzeba przyznać, że firma od początku deklarowała, iż nie będzie płaciła przestępcom. „Ostatecznym” terminem, jaki wyznaczyli był 31 stycznia, inaczej zagrozili, że w darknecie znajdą się wszystkie informacje o pacjentach czy pracownikach i współpracownikach firmy, jakie posiadają.

Zapytaliśmy ALAB o dalsze wycieki. Dr Seweryn Dmowski, reprezentujący ALAB Laboratoria, stwierdza: „Według naszej najlepszej wiedzy przestępcy udostępnili w sieci jedynie zidentyfikowane przez nas jeszcze w grudniu 2023 roku dane pacjentów, od tamtego czasu incydentalnie zmienia się tylko formuła ich publikacji” - powiedział serwisowi CyberDefence24.pl.

Jednocześnie zaznacza, że - zgodnie z zapowiedziami - nie zapłacili okupu i go nie zapłacą. „Ze względu na toczące się śledztwo oraz postępowania prowadzone przez właściwe organa państwa nie udzielamy żadnych szczegółowych informacji na ten temat. Mogę jedynie potwierdzić, że nie zapłaciliśmy i nie zapłacimy okupu” - usłyszeliśmy.

ALAB. Czy twoje dane znalazły się w wycieku?

Jeśli chcesz sprawdzić czy Twoje dane znalazły się w sieci - w związku z wyciekiem z ALAB - możesz to zrobić za pośrednictwem serwisu: www(.)bezpiecznedane(.)gov(.)pl.

Jak to zrobić? Klikamy w przycisk „Sprawdź dane”, logujemy się za pośrednictwem np. bankowości elektronicznej, aplikacji mObywatel, Profilu Zaufanego. Po zalogowaniu się wybraną metodą wyświetli się nam komunikat: „sprawdź wyciek z ALAB”.

Informację, co robić, kiedy Twoje dane wyciekły znajdziesz w tym tekście.

ALAB. Co dalej?

Poza sprawdzeniem, czy nasze dane nie wyciekły, warto też pamiętać o możliwości zastrzeżenia numeru PESEL, o czym więcej pisaliśmy tutaj. Jednak trzeba mieć na uwadze, że w praktyce uznanie zastrzeżenia pod względem prawnym będzie obowiązywało dopiero od 1 czerwca 2024 roku, co wynika wprost z ustawy. Obecnie trwa okres przejściowy, by banki, instytucje pożyczkowe itd. miały czas na dostosowanie się do przepisów i wdrożenie odpowiednich mechanizmów.

Jakie dalsze działania planuje spółka w związku z dotychczasowym wyciekiem danych? „Konsekwentnie realizujemy przyjętę strategię: wzmacniamy nasze systemy bezpieczeństwa, monitorujemy darknet, obejmujemy obowiązkiem informacyjnym oraz ofertą darmowego 6-miesięcznego alertu BIK wszystkie osoby, których dane zostały upublicznione w sieci, w pełni współpracujemy z właściwymi organami oraz instytucjami państwowymi, otwarcie i transparentnie komunikujemy się z mediami, klientami oraz pacjentami” - deklaruje dr Seweryn Dmowski.

RPO: Skargi w związku z wyciekiem

Kilka dni temu Rzecznik Praw Obywatelskich poinformował, że wpływają do niego skargi od osób zaniepokojonych przypadkami naruszeń ochrony danych osobowych, w tym związanych z wyciekiem danych osobowych takim jak ALAB.

„Wnioskodawcy zwracają uwagę na naruszenie ich prawa do prywatności i ochrony danych osobowych. Pytają się też o przysługujące im prawa” - czytamy w oświadczeniu RPO.

Rzecznik przypomina, że każdej osobie, która została dotknięta naruszeniem ochrony danych osobowych, przysługuje skarga do Prezesa Urzędu Ochrony Danych Osobowych, który jest organem właściwym w sprawie ochrony danych osobowych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].