ALAB jest jedną z największych sieci laboratoriów diagnostycznych w Polsce. Przeprowadza ona ponad 35 milionów badań rocznie. Sieć ta obejmuje ponad 70 laboratoriów medycznych oraz 620 punktów pobrań, co zapewnia jej szeroki zasięg i dostępność na terenie całego kraju. Firma oferuje obszerny zakres ponad 3500 badań diagnostycznych, od podstawowych testów, po bardziej skomplikowane i specjalistyczne badania. Mimo iż firma cieszy się dobrą opinią to ostatni wyciek danych, który opisał serwis Zaufana Trzecia Strona, może mocno ją zszargać.
[AKTUALIZACJA #1 – 27.11.2023, godz. 23:04]
Niedługo po naszym mailu do CERT, wdrożono system pozwalający na sprawdzenie bezpieczeństwa naszych danych.
[AKTUALIZACJA #1 – 27.11.2023, godz. 18:23]
CERT Polska podkreśla, że obecnie nie istnieje bezpieczna metoda sprawdzenia, czy incydent też dotknął naszych wyników. Jednak instytucja ta już nad tym pracuje. Możliwość zweryfikowania, czy padliśmy ofiarami wycieku danych z ALAB już wkrótce pojawi się na rządowej stronie bezpiecznedane.gov.pl
Spis treści
Wyciek danych z ALAB – co wiemy?
Za wyciekiem stoi grupa ransomware RA World, która szantażowała ALAB, że jeśli ten nie zapłaci okupu, to dane pacjentów zostaną opublikowane. Nie wiadomo, czy ALAB odmówił zapłaty okupu, czy w jakiś inny sposób sprowokował przestępców. Ci w swoim wpisie z 19 listopada stwierdzili jednak, że firma odmówiła współpracy z nimi. Nie weszli jednak w szczegóły, więc nie wiemy, czym jest ta odmowa współpracy. Faktem jest jednak to, że aż 6 GB danych obejmujących pliki PDF i XML z wynikami badań, oraz danych osobowych ponad 50 tysięcy klientów zostało udostępnionych przez przestępców.
Wyciek ten obejmuje badania wykonane od 2017 do 17 września 2023 roku i zawiera dane osobowe klientów, takie jak imię, nazwisko, PESEL, adres, nazwę podmiotu zlecającego badania, daty i godziny zlecenia i wykonania badania, numerację umożliwiającą identyfikację badania w systemach ALAB, a także sam wyniki badania. Dobrą praktyką będzie więc zastrzeżenie numeru PESEL. Na szczęście to można zrobić bez wychodzenia z domu za pomocą aplikacji mObywatel 2.0. Dopełnieniem bezpieczeństwa może być także wykupienie ochrony w BIK.
Jednak nie to jest w tym wszystkim najgorsze, a fakt, że to była dopiero próbka możliwości hakerów. Ci twierdzą bowiem że wykradli aż 246 GB danych pacjentów. Pozostałe mają zostać opublikowane do 31 grudnia jeśli ALAB nie spełni ich żądań.
Pocieszające w całej tej sprawie jest jedna to, że pobranie całej bazy danych z wynikami jest niezwykle trudne. Serwis Zaufana Trzecia Strona już wcześniej miał do czynienia z grupą RA Wordl i badał ich wcześniejsze ataki. Według ich ustaleń ci konkretni przestępcy używają do udostępnienia wycieków sieci TOR, aby zapewnić sobie bezpieczeństwo.
Co w tym pocieszającego? Otóż wedle ustaleń Zaufanej Trzeciej strony dotychczas używany serwer plików jest niestabilny i często zrywa połączenie po zaledwie kilkunastu megabajtach transferu. Na korzyść pokrzywdzonych jest także to, że sama prędkość transferu jest bardzo niska. Tym samym pobranie całego zbioru danych o tak pokaźnym rozmiarze jest niezwykle czasochłonne, trudne i wymaga tytanicznej cierpliwości. Podobnie więc sprawa powinna wyglądać także w przypadku tego ataku.
Warto także przypomnieć, że nie jest to pierwszy duży wyciek danych z ALAB. Poprzedni taki incydent miał miejsce w 2018 roku. Wtedy też firma obiecała, że wdroży dodatkowe procedury bezpieczeństwa. Jak widać, na niewiele to się zdało. Dlaczego więc dane pacjentów są w ogóle przechowywane? No cóż, to wynika z obowiązującego w Polsce prawa. To wymaga od podmiotów medycznych przechowywania dokumentacji medycznej przez okres do 25 lat, w zależności od rodzaju badań.
Co czeka nas dalej? Komentarz eksperta
Co gorsza, według eksperta do takich ataków będzie dochodziło coraz częściej, a ich sprawcy w większości przypadków pozostaną całkowicie bezkarni.
Niestety ataki grup ransomware już prawie zawsze kończą się nie tylko szyfrowaniem, ale także kradzieżą danych w celu silniejszego szantażu ofiar. Na dokładkę sprawcy tych ataków przeważnie przebywają w Rosji, co znacząco utrudnia wymierzenie sprawiedliwości. To powoduje, że z podobnymi incydentami możemy mieć do czynienia coraz częściej i nie mamy żadnej prostej recepty na ograniczenie skali tego zjawiska.
– Adam Haertle redaktor naczelny serwisu Zaufana Trzecia Strona dla Android.com.pl
Wysłaliśmy także prośbę do ALAB o ustosunkowanie się do tej sprawy, oraz do CERT.
Dodatkowo pamiętaj, że w przypadku zgubienia lub kradzieży smartfona, zawsze dobrze jest mieć włączoną funkcję lokalizacji telefonu, aby łatwo namierzyć jego położenie.
Źródło: ZaufanaTrzeciaStrona, CERT