Gigantyczny wyciek danych medycznych! Pacjenci znanej sieci laboratoriów są zagrożeni

Gigantyczny wyciek danych medycznych. Dane pacjentów pochodziły z jednej z największych sieci laboratoriów w Polsce – firmy ALAB – informuje serwis Zaufana Trzecia Strona. Wyciek danych medycznych, w tym przypadku wyników badań pacjentów, to efekt ataku hakerskiej grupy, która opublikowała na swoim blogu nie tylko informację o skutecznym włamaniu do firmy ALAB, ale także próbkę wykradzionych danych – a w niej między innymi wyniki ponad 50 tysięcy badań medycznych.

Skutki tego ataku może odczuć co najmniej kilkadziesiąt tysięcy Polek i Polaków, którzy w popularnej sieci wykonywali badania. W sieci udostępniono bowiem linki, za pomocą których można pobrać dwa pliki zawierających skompresowane wyniki badań pacjentów, a także dokumentów umów zawieranych przez firmę ALAB. Wyniki zawierają dane osobowe pacjentów takie jak imiona, nazwiska, numery PESEL i adresy zamieszkania. Dokumenty zawierają też m.in. nazwy podmiotów zlecających badania, daty i godziny zlecenia.

Zdarzenia potwierdziła już sieć laboratoriów ALAB. Miało do niego dojść 19 listopada tego roku.

W dniu 19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione (…). Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości

-poinformowała firma w specjalnym komunikacie na swojej stronie internetowej.

Nie zmienia to jednak faktu, iż możliwe, negatywne skutki wycieku danych dla klientów, pacjentów mogą być znaczące.

Uzyskanie danych typu PESEL, powoduje na przykład: 

• uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,
• uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL,
• korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa,
• wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,
• zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Laboratoria ALAB rekomendują więc działania mogące zminimalizować szkodliwość takich konsekwencji:

• założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie „kopii danych“, którą mamy prawo uzyskać od BIK,
• zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu,
• zgłoszenia faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości“
• Zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl Poprzez zalogowanie się do systemu, wejście do sekcji „Twoje dane”, potem Rejestr Zastrzeżeń PESEL i wybrać „Zastrzeż PESEL” lub „Cofnij zastrzeżenie”.

Wszelkie informacje oraz pytania dotyczące incydentu można należy zgłaszać pod adresem mailowym: [email protected] lub na poniższe dane kontaktowe: Marta Jędrzejczak (Inspektor ochrony danych spółki), ul. Stępińska 22/30, 00-739 Warszawa.

Jeden z najgorszych wycieków danych w historii Polski – wyniki badań medycznych kilkudziesięciu tysięcy Polek i Polaków ujawnione przez włamywaczyhttps://t.co/4pYylTHSuj

Dane osobowe oraz wyniki badań ponad 50 tysięcy osób trafiły do internetu. pic.twitter.com/46ATacXAX0

— ZaufanaTrzeciaStrona @zaufanatrzeciastrona@infosec (@Zaufana3Strona) November 26, 2023

Czytaj także:

• Włamanie do kościoła w Brennej. Kto widział złodziei?
• Włamanie do kościoła w Rybniku. Złodziej ukradł pieniądze z puszek [FOTO]