123RF
Atak hakerski – wyniki badań medycznych w internecie
Tagi: | dane osobowe, dane medyczne, haker, hakerzy, atak hakerski, ALAB, wyciek danych |
Do sieci wyciekły dane ponad 50 tys. polskich pacjentów, które znajdowały się na serwerach sieci laboratoriów medycznych ALAB.
O sprawie poinformowano 27 listopada na stronie internetowej Zaufanatrzeciastrona.pl – dane wyciekły z serwerów sieci laboratoriów ALAB, z których usług korzysta wiele placówek medycznych w Polsce.
– Nieznana grupa opublikowała nie tylko informację o skutecznym włamaniu do firmy ALAB, lecz także próbkę wykradzionych danych – między innymi wyniki ponad 50 tysięcy badań medycznych – poinformowano.
– Przestępcy udostępnili linki, umożliwiające pobranie dwóch plików zawierających spakowane dane. Pierwszy to 5 gigabajtów wyników testów laboratoryjnych, drugi to ponad 1 gigabajt umów zawieranych przez firmę – podano.
W internecie znalazły się dane Polek i Polaków, którzy od 2017 do 2023 roku wykonywali badania medyczne w sieci ALAB Laboratoria.
Hakerzy zagrozili publikacją kolejnej bazy – zdecydowanie większej.
Sieć laboratoriów ALAB wydała komunikat w tej sprawie, potwierdzając, że „dane, które znalazły się w sieci, to prawdziwe wyniki badań wraz z danymi pacjentów”.
– Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych – imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania i wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie zgłosiliśmy naruszenie do prezesa Urzędu Ochrony Danych Osobowych oraz poinformowaliśmy uprawnione instytucje, to jest CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia, a także złożyliśmy zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości – poinformowano w komunikacie o ataku.
Potwierdzono, że „incydent jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu”.
Zlecono już wykonanie wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych, a także rozpoczęto monitoring sieci pod kątem możliwego upublicznienia nielegalnie pozyskanych danych.
– Wykradzione dane przestępcy mogą wykorzystać w niebezpieczny dla pacjentów sposób, między innymi do wzięcia kredytu na cudze dane, wyłudzania środków z ubezpieczeń – wyjaśniono.
Naruszenie obowiązku należytej ochrony danych osobowych może się skończyć karami do 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu podmiotu z poprzedniego roku obrotowego. Poza tym osoby, których dane osobowe naruszono, mogą się starać o odszkodowania.
– Nieznana grupa opublikowała nie tylko informację o skutecznym włamaniu do firmy ALAB, lecz także próbkę wykradzionych danych – między innymi wyniki ponad 50 tysięcy badań medycznych – poinformowano.
– Przestępcy udostępnili linki, umożliwiające pobranie dwóch plików zawierających spakowane dane. Pierwszy to 5 gigabajtów wyników testów laboratoryjnych, drugi to ponad 1 gigabajt umów zawieranych przez firmę – podano.
W internecie znalazły się dane Polek i Polaków, którzy od 2017 do 2023 roku wykonywali badania medyczne w sieci ALAB Laboratoria.
Hakerzy zagrozili publikacją kolejnej bazy – zdecydowanie większej.
Sieć laboratoriów ALAB wydała komunikat w tej sprawie, potwierdzając, że „dane, które znalazły się w sieci, to prawdziwe wyniki badań wraz z danymi pacjentów”.
– Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych – imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania i wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie zgłosiliśmy naruszenie do prezesa Urzędu Ochrony Danych Osobowych oraz poinformowaliśmy uprawnione instytucje, to jest CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia, a także złożyliśmy zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości – poinformowano w komunikacie o ataku.
Potwierdzono, że „incydent jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu”.
Zlecono już wykonanie wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych, a także rozpoczęto monitoring sieci pod kątem możliwego upublicznienia nielegalnie pozyskanych danych.
– Wykradzione dane przestępcy mogą wykorzystać w niebezpieczny dla pacjentów sposób, między innymi do wzięcia kredytu na cudze dane, wyłudzania środków z ubezpieczeń – wyjaśniono.
Naruszenie obowiązku należytej ochrony danych osobowych może się skończyć karami do 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu podmiotu z poprzedniego roku obrotowego. Poza tym osoby, których dane osobowe naruszono, mogą się starać o odszkodowania.