Wyciekły dane medyczne tysięcy Polaków. Ministerstwo pozwala sprawdzić swój numer PESEL

Dane pacjentów sieci laboratoriów medycznych ALAB zostały wykradzione przez grupę hakerską RA World. Poinformowała o tym na swoim blogu, publikując pierwszą część: plik o rozmiarze 5 GB z wynikami badań laboratoryjnych i mający nieco ponad 1 GB plik zawierający umowy z klientami.

Wyciek danych klientów ALAB

W plikach są m.in. imiona i nazwiska, numery PESEL i adresy klientów. - W archiwum znajdują się 3 katalogi łącznie zawierające nieco ponad 110 000 plików. Każdy z plików to wynik badania klienta firmy. Wyniki w folderach znajdują się w dwóch postaciach – plików PDF z czytelnym dla zwykłego człowieka opisem (jak na przykładzie powyżej) oraz pliku XML zawierającego te same dane, tylko w postaci łatwej do hurtowego przetwarzania komputerowego - opisano w serwisie Zaufana Trzecia Strona.

- Obecność dwóch plików dla każdego badania oznacza, że w ujawnionych danych znajdują się wyniki ponad 55 tysięcy różnych badań, najczęściej dotyczących różnych osób. Daty badań umieszczone są w nazwach plików, więc można łatwo ocenić, że wyciek dotyczy okresu 2017-2023 (najnowsze badanie pochodzi z 27 września 2023) - dodano.

>>> Praca.Wirtualnemedia.pl - tysiące ogłoszeń z mediów i marketingu

Hakerzy domagają się okupu od firmy za to, że nie ujawnią wszystkich przejętych danych. Grożą przy tym, że jeśli nie dostaną pieniędzy, do 31 grudnia opublikują wszystkie wykradzione dane.

Jeden z najgorszych wycieków danych w historii Polski - wyniki badań medycznych kilkudziesięciu tysięcy Polek i Polaków ujawnione przez włamywaczyhttps://t.co/4pYylTHSuj  

Dane osobowe oraz wyniki badań ponad 50 tysięcy osób trafiły do internetu. pic.twitter.com/46ATacXAX0

— ZaufanaTrzeciaStrona @zaufanatrzeciastrona@infosec (@Zaufana3Strona) November 26, 2023

ALAB: dane wykradziono 19 listopada

W związku z wyciekiem spółka ALAB laboratoria opublikował w poniedziałek wieczorem komunikat, w którym potwierdza, że incydent "jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu". "19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką" - napisano w komunikacie.

Spółka dodała, że wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.

"W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania" - zaznaczono.

Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia, a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości. "Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych" - napisano.

NASK ostrzega przed próbami wyłudzeń

Naukowa i Akademicka Sieć Komputerowa (NASK) poinformowała w poniedziałek, że osoba, której dane zostały upublicznione powinna być przygotowaną i świadomą, że cyberoszuści mogą te dane wykorzystać, ze wzmożoną czujnością podchodzić do maili, wiadomości, telefonów oraz weryfikować ich nadawcę u źródła.

Jak przekazała NASK powinna też skorzystać z nowej możliwości i zastrzec nr PESEL, co pomoże zminimalizować ryzyko związane z nieuprawnionym wykorzystaniem naszych danych np. w banku.

Od czerwca wszystkie instytucje mają być gotowe, by korzystać z rejestru zastrzeżeń PESEL

- Dodatkowo jeszcze dziś serwis „Bezpieczne dane” zasilimy już upublicznionymi numerami PESEL. Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane, a ich liczba może się zmienić - podała NASK.

🚨We współpracy z @COIgovPL w związku ze sprawą #ALAB zasililiśmy serwis ➡ https://t.co/34ttpEbC2m JUŻ upublicznionymi numerami PESEL. Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane i będą aktualizowane. Sprawdźcie czy Wasze dane też znalazły się w wycieku!

— CERT Polska (@CERT_Polska) November 27, 2023

Jak sprawdzić, czy mój nr PESEL jest w wykradzionych danych

Narzędzie pozwalające każdemu sprawdzić, czy jego dane są wśród tych ujawnionych już przez hakerów, jest dostępne na stronie Bezpiecznedane.gov.pl. Należy na niej kliknąć w opcję „Sprawdź, czy Twoje dane są bezpieczne”, a następnie zalogować się (m.in. Profilem Zaufanym lub rachunkiem bankowym).

- Sprawdzamy to po zanonimizowanym numerze PESEL zalogowanego użytkownika, więc możemy sprawdzić tylko, czy PESEL znalazł się w wycieku. Nie przechowujemy danych, które upublicznili przestępcy. Pamiętaj, że poinformowali oni, że będą publikować dane stopniowo, więc sprawdź swoje dane powtórnie później - zaznaczono na stronie.

Na produkcję wjechał ostatni produkt z mojej kadencji w @CYFRA_GOV_PL - na https://t.co/47aPJRh72f możecie sprawdzić, czy Wasze dane wyciekły z ALABu ⤵️ pic.twitter.com/YKu1F3MFvV

— Janusz Cieszyński (@jciesz) November 27, 2023

We wtorek rano serwis Bezpiecznedane.gov.pl działał z dużymi problemami. Prawdopodobnie bardzo dużo osób próbowało sprawdzić, czy ich dane wyciekły z bazy ALAB.

Jak hakerzy mogą wykorzystać dane klientów ALAB

W komunikacie firmy ALAB szczegółowo wyliczono cele, do których mogą posłużyć przechwycone przez hakerów dane jej klientów:
- uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
- uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
- korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa;
- wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa;
- zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Co ALAB radzi w tej sytuacji swoich klientom? Wskazano takie działania:
- założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie „kopii danych“, którą mamy prawo uzyskać od BIK;
- zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
- zgłoszenia faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”;
- zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl Poprzez zalogowanie się do systemu, wejście do sekcji „Twoje dane”, potem Rejestr Zastrzeżeń PESEL i wybrać „Zastrzeż PESEL” lub „Cofnij zastrzeżenie”.