Hakerzy zażądali kilkuset tysięcy dolarów okupu od firmy Alab. Wykradli dane jej pacjentów

"Prokuratura Regionalna w Warszawie po analizie pisemnego zawiadomienia Alab Laboratoria Sp. z o.o. z siedzibą w Warszawie oraz materiałów przekazanych przez CBZC w dniu 29 listopada 2023 r. wszczęła śledztwo w sprawie uzyskania bez uprawnienia dostępu do systemu informatycznego i pozyskania zapisanych w nim informacji poprzez zaszyfrowanie za pomocą złośliwego oprogramowania ransomware zawartości serwerów należących do pokrzywdzonej spółki" - poinformowała rzecznik Prokuratury Regionalnej prok. Aleksandra Skrzyniarz.

>>> Praca.Wirtualnemedia.pl - tysiące ogłoszeń z mediów i marketingu

Zaznaczyła, że skutkiem ataku hakerskiego było utrudnienie dostępu do danych informatycznych oraz uniemożliwienie ich automatycznego przetwarzania, gromadzenia i przekazywania.

"Śledztwo swoim zakresem obejmuje również wątek dotyczący żądania okupu przez sprawców działających w ramach organizacji RA WORLD w zamian za przekazanie kluczy deszyfrujących oraz nieupublicznianie pozyskanych danych. Postępowanie prowadzone jest również w kierunku bezprawnego przetwarzania danych osobowych, adresowych oraz wyników badań medycznych osób korzystających z usług Alab Laboratoria Sp. z o.o" - dodała prok. Skrzyniarz.

Szantażyści zażądali od firmy kilkuset tysięcy dolarów - nieoficjalnie ustaliła PAP.

Warszawska Prokuratura Regionalna prowadzi czynności procesowe mające na celu m.in. ustalenie tożsamości sprawców.

Wyciekiem danych zajął się również prezes Urzędu Ochrony Danych Osobowych oraz Rzecznik Praw Pacjenta.

Zastępca prezesa UODO Jakub Groszkowski przekazał, że obecnie urząd analizuje zgłoszone 21 listopada naruszenie ochrony danych w Alab. "Na obecnym etapie czekamy na dalsze ustalenia administratora danych, aby dysponować wiedzą na temat szczegółów związanych z naruszeniem i rzetelnie wyjaśnić jego przyczyny i skalę" - dodał.

"W związku z głośnym wyciekiem danych, w ramach współpracy obie instytucje będą wymieniać się ustaleniami z podejmowanych działań oraz wynikami swoich prac. Celem tej współpracy jest przede wszystkim dobro pacjentów i ochrona ich danych osobowych" – zaznaczył Jakub Groszkowski.

Rzecznik Praw Pacjenta Bartłomiej Chmielowiec przekazał, że rozpoczyna postępowanie, by we współpracy z Prezesem UODO i spółką ustalić szczegóły sprawy. "Potencjalne naruszenie praw pacjenta traktujemy niezwykle poważnie, mając na uwadze nie tylko literę prawa, ale i zaufanie pacjentów do podmiotów leczniczych i systemu ochrony zdrowia" – dodał.

ALAB: dane wykradziono 19 listopada

W związku z wyciekiem spółka ALAB laboratoria opublikował w poniedziałek wieczorem komunikat, w którym potwierdza, że incydent "jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu". "19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką" - napisano w komunikacie.

Spółka dodała, że wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.

"W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania" - zaznaczono.

Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia, a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości. "Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych" - napisano.

NASK ostrzega przed próbami wyłudzeń

Naukowa i Akademicka Sieć Komputerowa (NASK) poinformowała w poniedziałek, że osoba, której dane zostały upublicznione powinna być przygotowaną i świadomą, że cyberoszuści mogą te dane wykorzystać, ze wzmożoną czujnością podchodzić do maili, wiadomości, telefonów oraz weryfikować ich nadawcę u źródła.

Jak przekazała NASK powinna też skorzystać z nowej możliwości i zastrzec nr PESEL, co pomoże zminimalizować ryzyko związane z nieuprawnionym wykorzystaniem naszych danych np. w banku.

Od czerwca wszystkie instytucje mają być gotowe, by korzystać z rejestru zastrzeżeń PESEL

- Dodatkowo jeszcze dziś serwis „Bezpieczne dane” zasilimy już upublicznionymi numerami PESEL. Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane, a ich liczba może się zmienić - podała NASK.

🚨We współpracy z @COIgovPL w związku ze sprawą #ALAB zasililiśmy serwis ➡ https://t.co/34ttpEbC2m JUŻ upublicznionymi numerami PESEL. Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane i będą aktualizowane. Sprawdźcie czy Wasze dane też znalazły się w wycieku!

— CERT Polska (@CERT_Polska) November 27, 2023

Jak sprawdzić, czy mój nr PESEL jest w wykradzionych danych

Narzędzie pozwalające każdemu sprawdzić, czy jego dane są wśród tych ujawnionych już przez hakerów, jest dostępne na stronie Bezpiecznedane.gov.pl. Należy na niej kliknąć w opcję „Sprawdź, czy Twoje dane są bezpieczne”, a następnie zalogować się (m.in. Profilem Zaufanym lub rachunkiem bankowym).

- Sprawdzamy to po zanonimizowanym numerze PESEL zalogowanego użytkownika, więc możemy sprawdzić tylko, czy PESEL znalazł się w wycieku. Nie przechowujemy danych, które upublicznili przestępcy. Pamiętaj, że poinformowali oni, że będą publikować dane stopniowo, więc sprawdź swoje dane powtórnie później - zaznaczono na stronie.

Na produkcję wjechał ostatni produkt z mojej kadencji w @CYFRA_GOV_PL - na https://t.co/47aPJRh72f możecie sprawdzić, czy Wasze dane wyciekły z ALABu ⤵️ pic.twitter.com/YKu1F3MFvV

— Janusz Cieszyński (@jciesz) November 27, 2023

We wtorek rano serwis Bezpiecznedane.gov.pl działał z dużymi problemami. Prawdopodobnie bardzo dużo osób próbowało sprawdzić, czy ich dane wyciekły z bazy ALAB.

Jak hakerzy mogą wykorzystać dane klientów ALAB

W komunikacie firmy ALAB szczegółowo wyliczono cele, do których mogą posłużyć przechwycone przez hakerów dane jej klientów:
- uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
- uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
- korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa;
- wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa;
- zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Co ALAB radzi w tej sytuacji swoich klientom? Wskazano takie działania:
- założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie „kopii danych“, którą mamy prawo uzyskać od BIK;
- zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
- zgłoszenia faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”;
- zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl Poprzez zalogowanie się do systemu, wejście do sekcji „Twoje dane”, potem Rejestr Zastrzeżeń PESEL i wybrać „Zastrzeż PESEL” lub „Cofnij zastrzeżenie”.