Hakerzy zdobyli dane pacjentów laboratoriów ALAB. Punkty ALAB działają m.in. w Tarnobrzegu, Sandomierzu, Stalowej Woli i Staszowie

Grupa hakerów włamała się do sieci komputerowej firmy ALAB prowadzącej w całej Polsce laboratoria diagnostyczne i ukradła dane dotyczące nieznanej liczby pacjentów, którzy robili badania medyczne w latach 2017 – 2023. Punkty pobrań ALAB działają m.in. w Tarnobrzegu, Sandomierzu, Stalowej Woli i w Staszowie.

O sprawie jako pierwszy poinformował serwis Zaufana Trzecia Strona. Włamanie miał miejsce tej jesieni, nie wiadomo dokładnie kiedy. Opinia publiczna dowiedziała się nim w poniedziałek, 27 listopada. Prawdopodobnie wcześniej cyberprzestępcy usiłowali wymusić okup od firmy. ALAB nie spełnił ich ultimatum, więc do internetu trafiła „próbka” ukradzionych danych. To m.in. kompletne wyniki przeszło 50 tysięcy badań laboratoryjnych pacjentów. Opublikowane wyniki zawierają dane osobowe, PESEL, adres pacjenta, a także wyniki badania medycznego.

Udostępniony przez hakerów plik z wynikami badań zawiera 2,4 GB danych. Najprawdopodobniej ujawnione wyniki dotyczą tylko 3 placówek służby zdrowia współpracujących z ALAB – z Warszawy, Łodzi i Łomianek. To jednak żadne pocieszenie – przestępcy deklarują, że są w posiadaniu aż 246 GB tego typu danych z całej Polski, a ALAB temu nie zaprzecza, przyznając, że doszło do włamania.

Punkty pobrań ALAB są popularne w naszym regionie. W samym Tarnobrzegu działają trzy, po jednym funkcjonuje w Sandomierzu, Stalowej Woli i Staszowie, ale też w Mielcu, Rzeszowie czy Kielcach, gdzie także często trafiają pacjenci z naszego terenu.

ALAB wydał komunikat, w którym potwierdza włamanie do swojej sieci komputerowej.

„Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości”. - napisano w komunikacie.

ALAB opublikował też informację o „możliwych negatywnych z punktu widzenia klientów konsekwencje incydentu”. Jej lektura pokazuje, z jak poważnym problemem mamy do czynienia.

Wymienione możliwe skutki to:

uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,

uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL,

korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa,

wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,

zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Rekomendowane działania mogące zminimalizować szkodliwość takich konsekwencji:

założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie „kopii danych“, którą mamy prawo uzyskać od BIK,

zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu,

zgłoszenia faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości“

Zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl poprzez zalogowanie się do systemu, wejście do sekcji „Twoje dane”, potem Rejestr Zastrzeżeń PESEL i wybrać „Zastrzeż PESEL” lub „Cofnij zastrzeżenie”.