Do internetu wyciekły wyniki badań medycznych wykonanych przez ostatnie kilka lat w jednej z największych ogólnopolskich sieci laboratoriów medycznych, firmy ALAB. Wyciek danych jest wynikiem ataku grupy ransomware, a dane uważane są za próbkę.
Atak ransomware na firmę ALAB ma poważne skutki dla tysięcy osób, które od roku 2017 do 2023 roku przeprowadzały badania medyczne w sieci laboratoriów ALAB. Nieznana grupa ransomware o nazwie RA World opublikowała informację o udanym włamaniu do firmy ALAB na swoim blogu, a także udostępniła próbkę skradzionych danych, w tym wyniki ponad 50 tysięcy badań medycznych.
Przestępcy udostępnili linki do pobrania dwóch spakowanych plików. Pierwszy z nich zawiera 5GB wyników testów laboratoryjnych, a drugi to nieco ponad 1GB umów zawierających dane firmowe. Przez pryzmat ofiar, plik pierwszy jest ważniejszy, więc skupimy się na jego analizie.
W archiwum znajdują się trzy katalogi, zawierające łącznie ponad 110 000 plików. Każdy z tych plików to wynik badania klienta firmy. Wyniki w folderach występują w dwóch formatach: plików PDF z czytelnym dla zwykłego człowieka opisem oraz pliku XML, który zawiera te same dane w formie łatwej do przetwarzania komputerowego. Obecność obu plików dla każdego badania oznacza, że ujawnione dane obejmują wyniki ponad 55 tysięcy różnych badań, najczęściej przeprowadzanych na różnych osobach. Daty badań są widoczne w nazwach plików, co pozwala stwierdzić, że wyciek dotyczy okresu od 2017 do 2023 roku (najnowsze badanie pochodzi z 27 września 2023 roku).
Każdy wynik badania zawiera dane osobowe klienta, takie jak imię, nazwisko, PESEL i adres. Dodatkowo dokumenty zawierają nazwę podmiotu, który zlecił badanie, daty i godziny zlecenia oraz wykonania badania, a także numerację umożliwiającą identyfikację badania w systemach ALAB oraz wszystkie wyniki badania.
Wyciekłe wyniki badań obejmują praktycznie wszystkie rodzaje badań laboratoryjnych, takie jak badania hematologiczne, biochemiczne, immunologiczne, posiewy czy cytologia.
Czy będzie więcej wycieków? Przestępcy odpowiedzialni za ten atak informują, że opublikowali “próbkę danych” z powodu braku współpracy ze strony firmy ALAB, która nie zapłaciła okupu. Jednocześnie grożą, że 31 grudnia opublikują pełen zbiór danych, który ma mieć 246GB. Przeszukaliśmy informacje dotyczące wcześniejszych ofiar i potwierdzamy, że w przypadku tych ataków przestępcy faktycznie publikowali skradzione dane ofiarom.
Potencjalne ofiary znajdują się teraz w niezwykle trudnym położeniu. Biorąc pod uwagę rozmiar działalności firmy ALAB, prawdopodobnie osoby czytające ten tekst są związane z badaniami przeprowadzanymi przez tę firmę. Współpracuje ona z wieloma placówkami medycznymi, więc nie jest nawet konieczne, abyś kojarzył nazwę firmy – Twoje dane mogą znaleźć się w wycieku. Niestety, na podstawie informacji umieszczonych przez przestępców na jednym z serwisów, plik został już pobrany przez ponad 30 osób. W takim przypadku, co zatem robić?
Po pierwsze, możemy się spodziewać, że ALAB wyda oficjalne oświadczenie wkrótce i skontaktuje się z osobami, których dane mogą znaleźć się w rękach przestępców. Otrzymasz szczegółowe instrukcje, z których dowiesz się, że musisz być czujny i nie klikać podejrzanych linków. Niestety, to jest praktycznie to, czego możemy się spodziewać w tej sytuacji. Każdy musi samodzielnie ocenić ryzyko związanego z ujawnieniem wyników badań – ryzyko różni się w przypadku wycieku wyników badania poziomu cukru we krwi, a w przypadku wyników badań dotyczących chorób wenerycznych.
Czy powinieneś zabezpieczyć swój numer PESEL? Większość osób może to zrobić nawet bez wycieku, ale jeśli czekałeś na sygnał, to właśnie jest ten sygnał. Pełne dane osobowe mogą pomóc przestępcom, choć na razie nie ma sygnałów, że dane z tego wycieku są wykorzystywane w złych celach.
Czy jest możliwe, że wycieknie więcej danych? Paradoksalnie możemy cię pocieszyć – ta grupa publikuje swoje wycieki w postaci pojedynczych plików o rozmiarach kilkuset gigabajtów za pomocą sieci TOR, co oznacza, że nikt nie będzie w stanie pobrać wszystkich tych danych (przetestowaliśmy ich serwer plików i połączenie zostaje zerwane po kilkunastu megabajtach transferu, a prędkość transferu gwarantuje, że do końca przyszłego roku nikt nie pobierze 246 gigabajtów z tego serwera).
Niestety, dane tysięcy osób zostały już ujawnione i nie można tego wycieku zatrzymać. Pozostaje nam czekać na oficjalne stanowisko firmy. Co niezwykłe, choć incydent miał miejsce kilka dni temu (grupy ransomware dają firmom czas na zastanowienie się przed opublikowaniem danych, a pliki z danymi zostały przesłane przez hakerów już 17 listopada), strona internetowa ALAB-u zniknęła kilkanaście godzin temu w niedzielne poranki i nadal jest niedostępna. Nie wiemy, czy te wydarzenia są ze sobą powiązane.
Aktualizacja 28.11.2023
Ministerstwo Cyfryzacji umożliwiło sprawdzenie czy Wasze dane wyciekły z ALAB. Wystarczy zalogować się na stronie https://bezpiecznedane.gov.pl/ , kliknąć ,,Sprawdź dane”, a następnie kliknąć ,,Sprawdź wyciek z ALAB”:
