Wyciek wrażliwych danych z laboratoriów ALAB. Sprawdź, czy skradziono twoje dane
Firma ALAB laboratoria potwierdziła, że doszło do groźnego naruszenia bezpieczeństwa danych klientów. Sprawa jest o tyle poważna, że w rekordach znalazły się tak wrażliwe informacje jak PESEL czy wyniki badań. Opublikowano już zalecenia dla klientów laboratoriów, a także narzędzie, dzięki któremu można łatwo sprawdzić, czy nasze dane znalazły się wśród tych, które skradziono.
Opublikowano dane 54 tys. pacjentów
Jak donosi Niebezpiecznik, ALAB zaatakowany został przez grupę RA World już 19 listopada. Według deklaracji grupy opublikowanej w darknecie wykradziono aż 246 GB informacji. Napastnicy opublikowali także próbkę skradzionych danych w postaci paczki zawierającej m.in. 54 tys. wyników badań.
Obok skali największe wrażenie robi niestety zakres wykradzionych danych. Zawierają one wyniki, co w wielu przypadkach może się okazać przecież niezwykle wrażliwą daną, biorąc pod uwagę, że chodzi też o m.in. badania na obecność wirusa HIV, ale też imiona i nazwiska pacjentów, ich numery PESEL czy adresy. Opublikowana próbka zawiera dane klientów ALAB z Warszawy, Łodzi i Łomianek, niemniej napastnicy mogą się zdecydować na udostępnianie kolejnych paczek dotyczących pacjentów z kolejnych lokalizacji.
Wyciek danych z przeglądarek, eksperci alarmują. Nie ma na to sposobu?Oficjalne oświadczenie ALAB
Już po ujawnieniu informacji o tym, że RA World dysponuje danymi pacjentów ALAB, firma opublikowała oficjalne oświadczenie, w którym potwierdza, że do poważnego incydentu doszło. Uwagę zwraca tutaj czas – wiele wskazuje na to, że ALAB-owi nie śpieszyło się z informowaniem swoich klientów o kradzieży ich danych. Jak czytamy w komunikacie:
Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.
ALAB poinformował także o skutkach uzyskania tak wrażliwych informacji. Umożliwiają one m.in. uzyskanie kredytów wszędzie tam, gdzie nie wymaga się w tym celu okazania dowodu osobistego, korzystanie ze świadczeń opieki zdrowotnej, praw obywatelskich, wyłudzenie ubezpieczenia czy zarejestrowanie karty telefonicznej.
Wyciek danych z ALAB – co robić?
Firma uruchomiła specjalny kanał kontaktowy, gdzie zgłaszać mogą się klienci, których dane mogły zostać wykradzione. Jest to adres mailowy [email protected] oraz korespondencyjny: Marta Jędrzejczak (Inspektor ochrony danych spółki), ul. Stępińska 22/30, 00-739 Warszawa.
Równolegle zaleca się założenie konta w systemie informacji kredytowej i gospodarczej (dostęp pod adresem www.bik.pl), by sprawdzać, czy nie dochodzi do prób zaciągnięcia kredytu na wykradzione dane. Ponadto ALAB zaleca zastrzeżenie numeru PESEL pod adresem www.mobywatel.gov.pl, co jednak może okazać się nieskuteczne – prawo regulujące zastrzeganie PESEL wejdzie w życie w czerwcu przyszłego roku.
Sprawdź, czy twoje dane zostały skradzione
Skutecznym sposobem ochrony przed kradzieżą tożsamości może będzie zastrzeżenie dokumentu tożsamości, ale warto w pierwszej kolejności upewnić się, czy konkretne dane zostały skradzione. Na szczęście CERT poinformował już o tym, że baza bezpiecznedane.gov.pl została już uzupełniona o informacje wykradzione ALAB-owi.
Aby zweryfikować, czy nasze dane wyciekły, należy udać się pod adres bezpiecznedane.gov.pl/sprawdz-email, potwierdzić tam tożsamość na jeden z możliwych sposobów, m.in. Profil Zaufany, aplikacja mObywatel, bankowość elektroniczna, a następnie wprowadzić adres mailowy, który wykorzystywaliśmy podczas rejestracji w ALAB.
Źródło: Niebezpiecznik / ALAB laboratoria