Wyciek wrażliwych danych z ALAB Laboratoria. Sprawdź, czy Twoje dane są bezpieczne

W ostatnich dniach doszło do poważnego incydentu związanego z ochroną danych w sektorze medycznym. Sieć placówek ALAB Laboratoria padła ofiarą ataku ransomware, który w konsekwencji spowodował wyciek danych medycznych obejmujący 54 tys. wyników badań laboratoryjnych z danymi osobowymi pacjentów. Wyciek zawiera informacje takie jak numer PESEL, datę urodzenia, adres zamieszkania, identyfikator pacjenta oraz informacje o wynikach badań.

Nie zagłębiając się w techniczne aspekty ataku, który został szeroko opisany na łamach Niebezpiecznika i Zaufanej Trzeciej Strony, przekazujemy, co naszym zdaniem jest najciekawsze:

• według informacji przestępców udostępniony plik zawierający ponad 54 tys. wyników badań to jedynie część danych (waży 2,4 GB spośród 246 GB pełnych danych – to niespełna 1%),
• wynik pojedynczego badania zapisany jest w dwóch plikach – PDF i XML (ten drugi format umożliwia łatwiejsze wyszukiwanie danych konkretnej osoby z racji strukturalnego reprezentowania informacji),
• druga część upublicznionej próbki danych zawiera skany polis ubezpieczeniowych pojazdów, umowy na usługi wynajmu, umowy na usługi bankowe, akty notarialne, umowy powierzenia danych, itp.¹,
• na ten moment zagrożone są dane pacjentów z Warszawy, Łodzi i Łomianek (co nie oznacza, że pozostali pacjenci są bezpieczni – jeśli wierzyć przestępcom, po prostu taka próbka została wybrana do publikacji).

CERT Polska podjęło działania w celu minimalizacji skutków tego incydentu, zasilając serwis bezpiecznedane.gov.pl upublicznionymi już danymi. Zachęcamy osoby, które w latach 2017-2023 wykonywały badania w ALAB Laboratoria do bezpłatnej weryfikacji, a w razie pozytywnej odpowiedzi – do zastrzeżenia swojego numeru PESEL, o którym więcej w poprzednim wpisie.

Czytaj również: Zastrzeganie PESEL w aplikacji mObywatel. Ochrona dopiero od przyszłego roku

Spółka wydała oświadczenie w tej sprawie. Czytamy w nim między innymi o konsekwencjach i rekomendowanych działaniach:

Możliwe negatywne z punktu widzenia klientów konsekwencje incydentu:

• uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,
• uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL,
• korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa,
• wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,
• zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Rekomendowane działania mogące zminimalizować szkodliwość takich konsekwencji:

• założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie „kopii danych“, którą mamy prawo uzyskać od BIK,
• zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu,
• zgłoszenia faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości“
• Zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl Poprzez zalogowanie się do systemu, wejście do sekcji „Twoje dane”, potem Rejestr Zastrzeżeń PESEL i wybrać „Zastrzeż PESEL” lub „Cofnij zastrzeżenie”.

https://www.alablaboratoria.pl/19811-komunikat-incydent-naruszenia-bezpieczenstwa-danych-osobowych

1. https://niebezpiecznik.pl/post/wyciekly-wyniki-badan-tysiecy-polakow-z-firmy-alab/ ↩︎