Sieć laboratoriów ALAB przyznała, że 19 listopada doszło do ataku na serwery spółki oraz że nieuprawnione osoby mogły uzyskać „dostęp do znajdujących się tam danych”. Do Internetu trafiły wyniki badań medycznych kilkudziesięciu tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci ALAB. Hakerzy przekonują, że to tylko próbka danych, które pobrali i sa gotowi opublikować cała resztę.

Kto wykradł dane pacjentów ALAB Laboratoria?

„Szerzej nieznana grupa ransomware RA World opublikowała na swoim blogu nie tylko informację o skutecznym włamaniu do firmy ALAB, ale także próbkę wykradzionych danych – a w niej między innymi wyniki ponad 50 tysięcy badań medycznych” – czytamy w serwisie Zaufana Trzecia Strona. Wśród udostępnionych danych są: dane osobowe pacjenta, włącznie z PESEL-em i adresem

Serwis przeliczył, że wyciek może dotyczyć nawet 50 tys. osób, które wykonywały badania od 2017 do 2023 r. Najnowsze badanie było wykonane 27 września 2023 r.

Ochrona danych osobowych. Co można teraz zrobić?

ALAB radzi pacjentom, w jaki sposób mogą zareagować, jeśli obawiają się, że ich dane wyciekły:

założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość uzyskania darmowego dostępu do zebranych na swój temat danych w formie "kopii danych", którą mamy prawo uzyskać od BIK;

zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu;

zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl

ALAB nie poinformował jednak, że na razie to ostatnie nie daje na razie realnej ochrony. Dopiero od 1 czerwca 2024 roku banki i inne instytucje będą miały obowiązek sprawdzania, czy numer PESEL jest zastrzeżony, czy nie.

W rozmowie z TVN24 Biznes Aleksandra Stankiewicz-Billewicz z biura prasowego BIK przyznała, że po ataku hakerów na ALAB Laboratoria infolinia Biura Informacji Kredytowej jest „ekstremalnie obciążona”. – Klienci kontaktujący się z BIK w wyniku wycieku danych pytają głównie, jak się uchronić przed ryzykiem wyłudzenia, jak będą działać Alerty, jak je uruchomić, czy mają zastrzec dowód osobisty, chcą również sprawdzić czy „wszystko jest OK w ich BIK-u” – powiedziała Stankiewicz-Billewicz.

Oświadczenie ALAB Laboratoria

Spółka wydała oświadczenie, które publikujemy w całości.

"ALAB laboratoria sp. z o.o. (dalej: spółka) jako administrator danych osobowych w trybie art. 34 pkt 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) informuje o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego. Incydent ten jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu.

W dniu 19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką.

Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.

Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci Internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych.

Szczegółowa analiza możliwych negatywnych konsekwencji incydentu dla klientów i partnerów spółki wraz z rekomendowanymi działaniami znajduje się poniżej.

Wszelkie informacje oraz pytania dotyczące incydentu można należy zgłaszać pod adresem mailowym: [email protected] lub na poniższe dane kontaktowe: Marta Jędrzejczak (Inspektor ochrony danych spółki), ul. Stępińska 22/30, 00-739 Warszawa.

Spółka pragnie zapewnić, że sprawa jest traktowana priorytetowo i z najwyższą powagą. Głównym celem Spółki jest wyjaśnienie incydentu we współpracy z uprawnionymi instytucjami publicznymi.

