Wyciek ponad 50 000 danych osobowych w ALAB laboratoria sp. z o.o.
28/11/2023
W dniu 27 listopada 2023 r. ALAB opublikował komunikat o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego. Incydent ten jest wynikiem działalności ransomware, mającej na celu wymuszenie na spółce okupu.
„W dniu 19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką.
Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.”
Jednocześnie na stronie portalu https://zaufanatrzeciastrona.pl możemy zapoznać się z bardziej szczegółową informacją na temat tego incydentu RODO:
„Niestety skutki tego ataku ransomware odczuje co najmniej kilkadziesiąt tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci „ALAB laboratoria”. Szerzej nieznana grupa ransomware RA World opublikowała na swoim blogu nie tylko informację o skutecznym włamaniu do firmy ALAB, ale także próbkę wykradzionych danych – a w niej między innymi wyniki ponad 50 tysięcy badań medycznych.
Przestępcy udostępnili linki umożliwiające pobranie dwóch plików zawierających spakowane dane. Pierwszy to 5 GB wyników testów laboratoryjnych, drugi to nieco ponad 1 GB umów zawieranych przez firmę. Z punktu widzenia ofiar dużo ważniejszy jest plik pierwszy, więc skupimy się na jego analizie.
W archiwum znajdują się 3 katalogi łącznie zawierające nieco ponad 110 000 plików. Każdy z plików to wynik badania klienta firmy. Wyniki w folderach znajdują się w dwóch postaciach – plików PDF z czytelnym dla zwykłego człowieka opisem (jak na przykładzie powyżej) oraz pliku XML zawierającego te same dane, tylko w postaci łatwej do hurtowego przetwarzania komputerowego. Obecność dwóch plików dla każdego badania oznacza, że w ujawnionych danych znajdują się wyniki ponad 55 tysięcy różnych badań, najczęściej dotyczących różnych osób. Daty badań umieszczone są w nazwach plików, więc można łatwo ocenić, że wyciek dotyczy okresu 2017 – 2023 (najnowsze badanie pochodzi z 27 września 2023).
Przestępcy stojący za tym atakiem informują, że publikacja „próbki danych” nastąpiła z powodu braku chęci współpracy firmy ALAB – włamywacze nie otrzymali okupu. Jednocześnie grożą, że 31 grudnia opublikują pełny zbiór danych, rzekomo liczący 246 GB.”
Czy dane wyciekły można sprawdzić na stronie https://bezpiecznedane.gov.pl/
Więcej:
https://www.alablaboratoria.pl/19811-komunikat-incydent-naruszenia-bezpieczenstwa-danych-osobowych
https://zaufanatrzeciastrona.pl
Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:
Facebook https://www.facebook.com/odoserwis.pl.2016/
Linkedin https://www.linkedin.com/company/odoserwis-pl/
-----------------------------------------------------
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl