Wyciekły dane medyczne pacjentów sieci laboratoriów firmy ALAB. Spółka wydała komunikat

„Do internetu trafiły wyniki badań medycznych wykonanych przez ostatnie kilka lat w jednej z największych ogólnopolskich sieci laboratoriów medycznych, firmy ALAB. Wyciek jest skutkiem ataku grupy ransomware. Skutki tego ataku odczuje co najmniej kilkadziesiąt tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci „ALAB laboratoria”.” – poinformował serwis Zaufana Trzecia Strona.

 

Teraz wyciek danych oficjalnie potwierdziła firma ALAB. „W dniu 19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką” – informuje firma.

„Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości” – przekazuje.

Zapewnia, że równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci Internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych.

„Spółka pragnie zapewnić, że sprawa jest traktowana priorytetowo i z najwyższą powagą. Głównym celem Spółki jest wyjaśnienie incydentu we współpracy z uprawnionymi instytucjami publicznymi”

Możliwe negatywne z punktu widzenia klientów konsekwencje incydentu:

  • uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,
  • uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL,
  • korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa,
  • wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,
  • zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Rekomendowane działania mogące zminimalizować szkodliwość takich konsekwencji:

  • założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie „kopii danych“, którą mamy prawo uzyskać od BIK,
  • zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu,
  • zgłoszenia faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości“
  • Zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl Poprzez zalogowanie się do systemu, wejście do sekcji „Twoje dane”, potem Rejestr Zastrzeżeń PESEL i wybrać „Zastrzeż PESEL” lub „Cofnij zastrzeżenie”.

 

ren

Sprawdź również
Subscribe
Powiadom o
guest
7 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments
Wolski
Wolski
3 miesięcy temu

Cudownie 😐

Czarownica
Czarownica
3 miesięcy temu

Niewładne państwo, niewładne służby. Człowiek jest zostawiony sam sobie. Tylko podatki wiedzą jakie brać na utrzymanie bandy nierobów

Tomasz
Tomasz
3 miesięcy temu

chore państwo i chore procedury „założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej” JA ja mam potem łazić i prosić i SPRAWDZAĆ czy jakiś sk.syn mi kredytyu na mnie nie nabrał? co to k…. jest!? Bantustan? potem wszystkie roszczenie do ALAB wysyłac niech płacą.

MAD
MAD
3 miesięcy temu

Ten typ ataku można łatwo zneutralizować płacąc okup. Jeśli dane wyciekają znaczy, że mają w 4 literach bezpieczeństwo danych.
Brak informacji czy przasnyskie punkty pobierania wysyłały próbki do tej firmy?

MAD
MAD
3 miesięcy temu
Reply to  MAD

Z map wynika, że punkt na Mostowej jest tej firmy a punkt pobrań w szpitalu korzysta z innej firmy. Swoją drogą dane medyczne mogły by być anonimizowane i dekodowane kluczami sprzętowymi.

Mieszkanka
Mieszkanka
3 miesięcy temu
Reply to  MAD

W Przasnyszu są dwie firmy: alab oraz optimed 🙂

netaudit.com.pl
netaudit.com.pl
3 miesięcy temu

Wykonanie testu penetracyjnego pozwoli na uniknięcie podobnych zdarzeń, polecam netaudit.com.pl