Alab Laboratoria ma swoje punkty w Świeciu. Wyciekły dane pacjentów

W Świeciu są dwa punkty sieci laboratoriów Alab, którą zaatakowali hakerzy w celu wymuszenia na spółce okupu. Przestępcy wykradli dane pacjentów, część z nich ujawnili i grożą, że ujawnią pozostałe, jeśli nie dostaną pieniędzy. 

W Świeciu Alab Laboratoria ma dwa punkty na ul. Jana III Sobieskiego 2 (w budynku Polo Marketu) i na ul. Wojska Polskiego 80 (Miejsko-Gminna Przychodnia w Świeciu).

Spółka nie podaje dokładnych informacji, ile danych zostało wykradzionych, ale mówi się, że mogą to być pacjenci, którzy są w ich bazie danych od 2017 roku.

Do tej pory hakerzy udostępnili 55 tysięcy wyników badań klientów Alab Laboratoria i grożą, że do 31 grudnia udostępnią wszystkie wykradzione dane. 

Przestępcy mogą mieć dostęp do takich informacji jak: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego. 

Sieć wydała komunikat:

W dniu 19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Zespół ekspercki dokonał natychmiast analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką. (...) W związku z powyższym wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania.

Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.

Spółka pragnie zapewnić, że sprawa jest traktowana priorytetowo i z najwyższą powagą. Głównym celem Spółki jest wyjaśnienie incydentu we współpracy z uprawnionymi instytucjami publicznymi.

Co grozi pacjentom?

Spółka informuje również o możliwych negatywnych z punktu widzenia klientów konsekwencjach incydentu:

• uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,
• uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL,
• korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom, których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa,
• wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,
• zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Co zrobić, żeby chronić swoje dane?

Żeby uniknąć konieczności spłaty, nie naszych zobowiązań, warto zastrzec PESEL w serwisie mobywatel.gov.pl. Poprzez zalogowanie się do systemu, wejście do sekcji „Twoje dane”, potem Rejestr Zastrzeżeń PESEL i wybrać „Zastrzeż PESEL” lub „Cofnij zastrzeżenie”.

Zastrzeżenie PESEL spowoduje, iż w przypadku nieuczciwego wykorzystania naszego PESEL, w wyniku którego zostanie zawarta np. umowa kredytowa, bank nie będzie mógł żądać od nas spłaty tak zaciągniętego zobowiązania

Aby chronić własne dane, można też założyć konto w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie „kopii danych“, którą mamy prawo uzyskać od BIK.