ALAB Laboratoria to ogólnopolska sieć laboratoriów diagnostycznych wykonujących więcej niż 60 mln badań rocznie. W listopadzie miał miejsce atak hakerski na ALAB Laboratoria czego efektem był wyciek danych kilkudziesięciu tysięcy osób, które wykonały badania w ALAB Laboratoria, a niemal miesiąc później – w grudniu 2023 r. hakerzy udostępnili pliki zawierające dane osobowe pracowników.
Jak doszło do największego wycieku danych medycznych w Polsce?
Co można zrobić w przypadku, jeśli doszło naruszenia naszych danych osobowych?
Jak doszło do wycieku danych?
W listopadzie 2023 r. hakerzy zaatakowali dane zgromadzone na serwerach ALAB Laboratoria przy użyciu oprogramowania ransomware, które blokuje dostęp do systemu komputerowego, a następnie żąda okupu za przywrócenie stanu pierwotnego. Władze ALAB Laboratoria podjęły decyzję o niezapłaceniu okupu. W jej konsekwencji doszło do dwóch poważnych wycieków danych pacjentów sieci ALAB.
I wyciek danych
Przy pierwszym wycieku w listopadzie 2023 r., hakerzy udostępnili plik zawierający 54 000 wyników badań dane osób, które wykonywały badania w ALAB Laboratoria. Skala wycieku była o tyle poważna, że wyniki badań odnoszą się do stanu zdrowia poszczególnych pacjentów, co stanowi dane wrażliwe. Opublikowane dane dotyczą pacjentów, którzy korzystali z usług ALAB Laboratoria w latach 2017-2023. W udostępnionym pliku zawartych zostało wiele danych osobowych takich jak: imię i nazwisko, PESEL (a tym samym również i data urodzenia), adres zamieszkania, rezultat badań, numery identyfikacyjne pacjenta, jak też informacje o zleceniodawcy lub lekarzu zlecającym.
II wyciek danych
Drugi wyciek danych miał miejsce w grudniu 2023 r., gdy hakerzy udostępnili dane kilku tysięcy współpracowników i dostawców ALAB Laboratoria. Wyciek dotyczył takich danych jak: PESEL, informacja o formie zatrudnienia, dane adresowe do wysyłki PIT-ów (w tym adresy pracowników ze wskazaniem, czy dany adres jest adresem zameldowania czy tylko korespondencyjnym). Udostępnione zostały także zestawienia dotyczące zbioru pracowników – takie jak zestawienie wynagrodzeń laborantów, diagnostów i innych osób zatrudnionych w ALAB Laboratoria, co pozwoliło na poznanie wynagrodzeń osób zatrudnionych na poszczególnych stanowiskach.
III wyciek danych
Hakerzy rozpowszechnili trzecią część danych wykradzionych ALAB Laboratoria w pierwszych dnia stycznia 2024 r. Tym razem ponownie udostępniono pliki z danymi pacjentów, którzy korzystali z usług diagnostycznych ALAB Laboratoria. Wyciek ten jest jednak o tyle groźny, że opublikowane dane umożliwiają namierzenie konkretnych osób po numerze PESEL oraz sprawdzenie danej osoby bez konieczności pobierania dużej ilości danych z niezabezpieczonych stron internetowych.
Co dalej?
Hakerzy zapowiedzi, że będą systematycznie udostępniać dane wykradzione ALAB Laboratoria, który konsekwentnie podtrzymuje swoje stanowisko dotyczące odmowy zapłaty okupu. W połowie grudnia 2023 r. w ALAB Laboratoria rozpoczęła się kontrola Urzędu Ochrony Danych Osobowych, w ramach której analizie mają zostać poddane zabezpieczenia stosowane przez ALAB Laboratoria mające na celu ochronę danych osobowych pacjentów, pracowników oraz kontrahentów.
Jak sprawdzić, czy nasze dane zostały udostępnione?
Często wyrażając zgodę na udostępnianie naszych danych osobowych, nie zdajemy sobie sprawy z zagrożeń z tym związanych. Z tego względu warto podawać tylko niezbędne dane oraz regularnie sprawdzać, czy nasze dane nie były przedmiotem żadnego wycieku. Takiej weryfikacji można dokonać na stronie bezpiecznedane.gov.pl, która umożliwia sprawdzenie, czy nasze dane zostały udostępnione w sieci. Korzystanie ze strony jest darmowe.
Co jeśli nasze dane zostały udostępnione?
Jeżeli doszło do wycieku Twojego numeru PESEL, znacząco zwiększa się ryzyko posłużenia się Twoimi danymi osobowymi przez osoby trzecie. Należy więc zachować szczególną ostrożność i rozważyć podjęcie poniższych działań:
- Zastrzeż numeru PESEL – można to zrobić za pomocą portalu mobywatel.gov.pl, pomocą mobilnej aplikacji mObywatel lub bezpośrednio w urzędach w gminy. Zastrzeżenie numeru PESEL uniemożliwi nieuprawnionym osobom wzięcie kredytu na Twoje dane.
- Zabezpiecz logowanie do wszelkich portali internetowych, w których do logowania wykorzystywany był numer PESEL – takim działaniem może być zmiana hasła i o ile jest to możliwe zadbanie o dwuetapową weryfikację.
- Uruchom alerty Biura Informacji Kredytowej – umożliwia on otrzymanie powiadomienia o próbie wykorzystania danych osobowych i każdym złożonym wniosku o kredyt na dane objęte alertem.
- Zachowaj ostrożność w przypadku kontaktu, w tym także telefonicznego z nieznajomymi rozmówcami – takie osoby znając część danych (np. numer PESEL, adres zamieszkania), mogą chcieć wyłudzić więcej danych osobowych takich jak numer dowodu osobistego lub numer kont
Podsumowanie
Wyciek danych z ALAB Laboratoria pokazał, jak ważne jest prawidłowe zabezpieczanie danych osobowych. Brak wystarczającej ochrony danych osobowych może mieć dotkliwe konsekwencje zarówno dla osób, których dane zostały udostępnione, jak też dla podmiotu, który ich należycie nie zabezpieczył. Warto więc podjąć wszystkie możliwe działania, aby zminimalizować ryzyko wycieku danych.
apl. radc. Małgorzata Szwed
