Ile danych tak naprawdę wyciekło z ALAB-u? "Zakładamy najgorszy scenariusz"
Wyciek wrażliwych danych, w tym numerów PESEL i wyników badań, z serwerów firmy ALAB mógł być większy niż początkowy przypuszczano. Jak informuje serwis CyberDefence 24, pula poszkodowanych może być czterokrotnie wyższa i w najgorszym scenariuszu dotyczyć blisko 200 tys. osób.
Pod koniec listopada br. miał miejsce wyciek danych z serwerów firmy ALAB, zarządzającej laboratoriami medycznymi. Na skutek ataku hakerów z systemów spółki wykradziono dane pacjentów, których badania zlecone przez lekarzy trafiły do analizy specjalistów. Początkowe doniesienia medialne sugerowały, że cyberprzestępcy uzyskali dostęp do numerów PESEL oraz informacji o stanie zdrowia blisko 50 tys. osób. Pula poszkodowanych może być jednak większa.
Jak podaje portal cyberdefence24.pl, który był obecny na konferencji prasowej firmy ALAB, poświęconej wspomnianemu wyciekowi danych, przedstawiciele spółki nie wykluczają, że w najgorszym scenariuszu liczba poszkodowanych może sięgnąć nawet 200 tys. pacjentów.
- Przestępcy mieli dostęp do jednego z kilkudziesięciu serwerów, które zawierały dane medyczne. Zgodnie z zasadą Worst-case Scenario, musimy zakładać, że mieli oni dostęp do wszystkich danych, które się na tym serwerze znalazły - powiedział Seweryn Dmowski, doradca zarządu ALAB Laboratoria ds. komunikacji, cytowany przez CyberDefence24.pl. Dodał, że "w najgorszym scenariuszu upublicznieniem danych osobowych i wyników badań laboratoryjnych zagrożonych jest nawet 200 tysięcy pacjentów".
Jednocześnie przedstawiciel firmy wskazał, jak doszło do ataku hakerskiego. Pierwsze nieścisłości w wewnętrznym systemie firmy odnotowano w nocy z 18 na 19 listopada, choć do pierwszego przecieku danych w darknecie doszło już 17 listopada. Reakcja pracowników działu IT w ALAB nastąpiła po półtorej godziny od zaobserwowania pierwszych oznak ataku.
- Zauważono podejrzaną aktywność na serwerach ALAB i rozpoczęto działania mające na celu przywrócenie pełnej stabilności systemu informatycznego - wskazał Dmowski, dodając, że atak hakerski nie spowodował zatrzymania działań firmy.
Cyberprzestępcy zażądali od ALAB-u okupu, jednak firma wykluczyła takie rozwiązanie. Jednocześnie przedstawiciele spółki podkreślili, że z gróźb hakerów wynika, iż wszystkie wykradzione dane zostaną upublicznione do 31 grudnia 2023 roku.
Sama spółka poinformowała o fakcie odpowiednie służby, w tym Centralne Biuro Zwalczania Cyberprzestępczości oraz Urząd Ochrony Danych Osobowych. Druga z instytucji ma rozpocząć kontrolę w siedzibie firmy już od poniedziałku 11 grudnia. Według medialnych doniesień, jeżeli UODO stwierdzi, że zabezpieczenia ALAB nie były odpowiednio skonstruowane, przedsiębiorstwo może otrzymać karę w wysokości do 4 proc. rocznego przychodu lub do maksymalnie 20 mln euro.
