Wyciek medycznych danych Polaków. Ofiar może być dużo więcej

W wyniku skutecznego ataku na laboratoria ALAB w listopadzie 2023 r. do sieci trafiły wyniki badań ok. 50 tys. Polaków. Cyberprzestępcy od razu zagrozili, że mają ich więcej. Firma ALAB potwierdziła tę informację, podając, że łączna liczba ofiar może być cztery razy większa.

Pod koniec listopada 2023 r. doszło do olbrzymiego wycieku danych medycznych Polaków. Cyberprzestępcy opublikowali w sieci wyniki badań ok. 50 tys. klientów sieci ALAB, wraz z podstawowymi informacjami umożliwiającymi weryfikację tożsamości. Sprawcy wycieku podkreślali, że to tylko fragment tego, co udało im się zdobyć i jeśli firma nie zdecyduje się na współpracę, to do końca roku udostępnią całość. Co to oznacza?

Powołując się na relację Augusta Żywczyka z briefingu prasowego ALAB serwis Niebezpiecznik podał wiadomość, że "w najgorszym wypadku" do sieci trafią wyniki badań 200 tys. pacjentów. Do takiej ilości danych bowiem cyberprzestępcy z grupy RA World mogli uzyskać dostęp.

Równocześnie przedstawiciele firmy ALAB wyraźnie zaznaczyli, że nie zamierzają negocjować z cyberprzestępcami ani też nie opłacą okupu, jakiego żądają. Przypomnijmy bowiem, że serwery sieci laboratoriów medycznych zostały zainfekowane złośliwym oprogramowaniem typu ransomware, które działa w ten sposób, że wykrada pliki, szyfruje je na dyskach ofiary i wyświetla komunikat z żądaniem okupu w zamian za przesłanie klucza deszyfrującego.

Dalsza część artykułu pod materiałem wideo

W wyniku tego cyberataku przestępcy zdobyli pliki zawierające wyniki testów laboratoryjnych (w tym biochemicznych, hematologicznych, immunochemicznych i cytologicznych). Poza rezultatem badań każdy taki plik zawiera także imię, nazwisko, adres i numer PESEL pacjenta. Przechwycone zostały zatem bardzo wrażliwe dane. Grupa RA World zamierza udostępnić je przed końcem grudnia 2023 r.

Na razie nie wiadomo jeszcze, czy firma ALAB zostanie ukarana za nieupilnowanie danych pacjentów. Z komunikatu opublikowanego tuż po wycieku wynika jednak, że działała zgodnie z procedurami RODO i zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych, uprawnionych instytucji i policyjnego Centralnego Biura Zwalczania Cyberprzestępczości. Niemniej jednak osoby, których dane zostaną wykorzystane przez cyberprzestępców, mogą domagać się odszkodowań.

Tymczasem każda zainteresowana osoba może sprawdzić, czy jej dane były częścią wycieku. W tym właśnie celu CERT Polska i Centralny Ośrodek Informatyki wspólnie przygotowali narzędzie znajdujące się pod adresem bezpiecznedane.gov.pl. Jeśli cyberprzestępcy zdecydują się na udostępnienie reszty uzyskanych plików, baza zostanie zaktualizowana.

W przypadku, gdy nasze dane znajdują się w bazie, warto zdecydować się na zastrzeżenie numeru PESEL (wprawdzie mocy prawnej nabierze to dopiero w czerwcu 2024 r., ale lepiej zrobić to zawczasu). Należy też jeszcze uważniej niż zwykle przyglądać się wszelkim wiadomościom e-mail z linkami i załącznikami (cyberprzestępcy mogą bowiem spróbować wykorzystać uzyskane dane w atakach phishingowych, a więc polegających na podszywaniu się pod znane osoby lub instytucje).