2/1/2024
Pliki z danymi pacjentów, którzy korzystali z usług diagnostycznych ALAB, znów pojawiły się w darknecie. Tym razem zestaw danych ma bardziej dotkliwy charakter bo łatwiej w nim odnaleźć informacje dotyczące konkretnej osoby.
Jak dotąd dwukrotnie pisaliśmy o wycieku z firmy z ALAB, prawdopodobnie jednym z najgorszych incydentów tego typu w branży medycznej w ostatnich latach. Pod koniec listopada doszło do wycieku danych tysięcy pacjentów i wyciek ten spowodowała grupa przestępcza, która zaatakowała ALAB oprogramowaniem ransomware. Później ta sama grupa opublikowała pliki z danymi osobowymi pracowników.
Wyciek bardziej uporządkowany
Teraz wyciek z ALAB ma coś w rodzaju swojej trzeciej odsłony. Pewna osoba, znana w środowiskach darknetowych, opublikowała dane z ALAB pod pewnym darknetowym adresem. Publikacja wycieku ma formę taką jak widać poniżej – to po prostu katalog, plik ZIP (2,8 GB) i plik tar.gz (1.9 GB).
W katalogu “pesel” znajduje się 1228 kolejnych katalogów. Większość z nich ma nazwę w postaci czterech cyfr (w zakresie od 0021 do 9912) z wyjątkiem ostatniego katalogu, który nosi nazwę BRAKPESEL.
W każdym z tych katalogów są pliki XML, które już widzieliśmy w wycieku z ALAB. W niektórych katalogach tych plików jest kilkadziesiąt, w innych ponad tysiąc. Każdy z nich zawiera informacje o przeprowadzonych badaniach i wynikach. Oto zawartość przykładowego katalogu.
Tak zaś wygląda przykładowy plik XML z wynikami badań.
Teraz najgorsza wiadomość. Czterocyfrowa nazwa każdego katalogu to początek numeru PESEL. Oznacza to, że dane zostały opublikowane:
- w sposób umożliwiający namierzenie konkretnych ludzi po PESELu oraz…
- w sposób umożliwiający sprawdzenie pojedynczej osoby bez konieczności pobierania gigabajtów danych przez sieć TOR.
Wciąż wiele osób powtarza, że wyciek z ALAB obejmował dane z trzech przychodni. To nieprawda. Dane z trzech przychodni zobaczyliśmy w pierwszych próbkach, które opublikowano w listopadzie. Pliki opublikowane później również zawierały wyniki analiz laboratoryjnych, także pacjentów z innych przychodni m.in. z Poznania, Pułtuska, Krakowa, Grudziądza, Szczecinka i innych miast. W tej kolejnej fazie wycieku trafiły się też dane starsze np. z czerwca 2016 r., albo nawet z listopada 2015. I właśnie teraz tym informacjom nadano bardziej uporządkowaną formę.
Załóż, że Twoje dane wyciekły
Na krótko przed nowym rokiem pisaliśmy o tym, że wycieki nie są jednorazowymi incydentami. Dane raz wykradzione będą podlegać obrotowi na czarnym rynku. Grupa przestępcza, która zaatakowała ALAB, będzie mogła te dane odsprzedać (w częściach lub w całości) starając się zyskać cokolwiek w obliczu braku wpłaconego okupu. Analiza danych, które mogły wyciec, nie jest procesem łatwym ani szybkim.
Już po ostatnim artykule na temat ALAB kontaktowaliśmy się z firmą zadając jej dodatkowe pytania. Chcieliśmy wiedzieć przede wszystkim, czy firma szybko zareagowała na wyciek danych pracowników (szybko tzn. przed naszą publikacją) i czy wie o jakichś rodzajach danych, które mogą dopiero zobaczyć światło dzienne. Przedstawiciel ALAB Seweryn Dmowski utrzymuje z nami kontakt i zapewnia, że postara się o uzyskanie jak najlepszych odpowiedzi, ale nawet z perspektywy ALABu udzielenie tych odpowiedzi nie jest całkiem proste. Sprzątanie po wyciekach i ustalanie możliwych skutków to żmudna praca.
Dlatego najbezpieczniej jest założyć, że jeśli robiłeś badania w ALAB (zwłaszcza w latach 2015-2023) to Twoje dane mogły trafić na czarny rynek. Nie kieruj się tylko tym, co serwisy specjalistyczne pisały o próbkach wycieków. Przestępcy twierdzą, że zdobyli ponad 230 GB danych. Bezpieczniej będzie założyć, że te dane, które miał ALAB, mogą być w przyszłości wykorzystane do wycieków lub kradzieży tożsamości. Wzmożona czujność na socjotechnikę i zabiegi ograniczające dalsze wykorzystanie danych są wysoce wskazane.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Wiadomo czy wsrod opublikowanych danych znajdują się dane z innych już wymienione miast np. Szczecina?
Czy wiadomo w ogóle czy dane z nie wymienionych miast wyciekły?
Z BA ZY DANYCH
A to znaczy, że może to być ogólna Baza ogólnopolska czaisz?
Niestety dane ze Szczecina wyciekły
Można linka do tej strony z wyciekiem?
Może w końcu sobie odtworzą bazę w ALABie ;)
Może trzeba się ogólnie zastanowić po co zbierać tyle danych? Skoro i tak się ich na 100% nie ochroni.
Dane medyczne niestety muszą być trzymane. Fakt faktem po jakiś 7-14 dniach powinny być mocno zahashowane i zarchiwizowane, ale w praktyce widać (po ostatnim artykule) że szkolenia może i były i są o nich wspomnienia na danych które wyciekły ale stosowana wiedza była przez nielicznych… w liczbie przynajmniej jednej osoby.
Prawo wymaga 5-15-20-22 lata przechowywania danych medycznych (wyniki, skierowania, diagnozy itd)
https://medchart.pl/baza-wiedzy/przechowywanie-archiwizacja-i-niszczenie-dokumentacji-medycznej-oczami-prawnika
Bo ustawa każe.
Nie muszą być trzymane tyle czasu, ktoś sobie po prostu tyle wymyślił i pOSŁY przegłosowały a już na pewno nie muszą być cyfryzowane. No ale wiadomo, większość sejmowa może wszystko.
Trzy pytanka/prośby:
1. Czy redakcja może opublikować listę nazw katalogów które zawierają 4 pierwsze cyfry peselu?
2. Z jakiego źródła są informacje na bezpiecznedane.gov.pl? Alab łaskawie przekazuje dane osób które wyciekły czy raczej są one brane z darknetu?
3. Czy Alab kontaktował się z kimkolwiek z klientów w sprawie wycieku?
W artykule jest podana liczba katalogów: 1228. W systemie może w tej chwili być trochę ponad 2400 takich czwórek, ale długość życia ludzkiego ogranicza skalę wycieku do około 1200 możliwych wartości. Wyciągnij wnioski.
Hej,
Trzy pytania/prośby:
1. Czy redakcja może opublikować wszystkie nazwy katalogów które zawierają 4 pierwsze cyfry nr pesel?
2. Czy informacje na bezpieczne dane są aktualizowane na podstawie tego co ALAB przekazał czy na podstaweigo tego co zostało opublikowane w darknecie?
3. Czy ALAB kontaktował się już z kimś z poszkodowanych w sprawie wycieku?
Minęło już dobre 30 dni od startu,
jaka piękna i długa jest reakcja ALABARTU…
Podajcie źródło albo coś to się stworzy jakąś wyszukiwarkę w stylu “Have I been PWNED” albo podeślijcie im namiary na bazę by dodali sprawdzenie.
Warto wiedzieć, czy można stać się celem profilowania, czy też nie – a przy okazji przygotować się do ewentualnych roszczeń wobec ALABu bo w takiej sytuacji wydaje mi się, że powinny posypać się też sprawy o odszkodowania a nie tylko pacu pacu był wyciek i co nam zrobisz.
no niby masz te bezpiecznedane.gov.pl ale musisz sie profilem zaufanym zalogowac aby cokolwiek sprawdzic
moje dane wyciekły i mam to gdzieś, zastrzegłam pesel (sam nie wiem po co i żyje dalej). Ludzie… Takie akcje będą na porządku dziennym.. Ten co krzyczy że jego pesel wyciekł sru sru sru jutro dyktuje w aptece ten sam ciąg liczb żeby kupić maść na ból dupy… Życzę wszystkim więcej luzu to i maść nie będzie potrzebna :)
Nie tylko w KRS. Dane setek tysięcy a nawet potencjalnie milionów są w księgach wieczystych a przy odpisie całkowitym nie tylko obecnych ale również byłych. Każdy kto był (współ)właścicielem czegokolwiek z osobną KW , choćby miejsca parkingowego, widnieje w publicznie dostępnym rejestrze. Osoby, które są wpisane w KRS zazwyczaj wiedzą że ich dane są publiczne więc mają subskrypcję na alerty BIK , oraz na pewno są mocniej podejrzliwe w temacie ataków phishingowych bo są często regularnie targetowane mailami albo whatsapp (nr tel też często jest publiczny , zwłaszcza służbowy) lub innymi kanałami – nie uchroni to na 100% nikogo ale utrudnia sprawę .
Ogólnie na codzień pesel najlepiej traktować jak wycieknięty. Z alabem gorsze jest to że teraz można targetowo próbować sprawdzać stan zdrowia jednostek.
Mnie interesuje kto będzie odpowiadał i ponosił odpowiedzialność za kredyty które zostaną wzięte z powodu wycieku
Jak to kto? Pan, pani, generalnie my wszyscy.
Dane które wyciekły to praktycznie te same dane, które są publikowane w KRS wszystkich spółek – PESEL, nazwisko, imiona. Czyli na członków zarządu spółek (zarabiających krocie) nikt nie bierze kredytu mimo że te dane są ogólnie dostępne a na Kowalskiego, który badał poziom cukru we krwi ktoś nagle weźmie chwilówkę?
Ten kto udzieli kredytu
Nie rozumiem dlaczego nie jakiegoś mechanizmu prawnego żeby nałożyć na nich grubą karę. Jak mi się włamie złodziej do domu i ukradnie sprzęt służbowy to muszę zapłacić za niego z własnej kieszeni lub kieszeni mojego ubezpieczyciela. Odpowiedzialność materialna zmusiłaby ich do większej dbałości o bezpieczeństwo danych.
Oni na prawdę mieli sporo zabezpieczeń, to nie było tak jak się gawiedzi wydaje niezabezpieczone. Ale nie ma zabezpieczeń w 100%
pytanie czy zawiodl typowy czynnik ludzki (np spear phishing) czy byl to jakis wyrafinowany sposob/exploit
Jest bardzo dobry sposób na zabezpieczenie takich danych – po miesiącu od daty badania, umieścić wyniki i wszelkie dane w bazie danych fizycznie odseparowanej od LANów, WANów i wszelkich sieci. Firewall na zasadzie braku kabla.
Takie dane są na tyle ważne, że firmy je przetwarzające powinno byc stać na zatrudnienie interfejsu białkowego służącego do ewentualnej transmisji.
Gdzie pracujesz, że musisz oddawać kasę gdyby ktoś ukradł sprzęt z domu? Na ulicy ktoś zaatakuje i pracodawca oczekuje, że oddasz dzielnie życie ratując sprzęt? To chyba pracodawca powinien go ubezpieczyć.
Czy można żądać jakieś zadośćuczynienie jeśli moje dane znalazły się na liście? Jakiś zbiorowy pozew lub coś? Wygląda na to że nie bardzo przejmowali się RODO w tej firmie…
To, w związku z wyciekiem moich danych wrażliwych pozew o odszkodowanie. Zaznaczam, że wszystkie dane do kredytu są udostępnione przez hakerów na tacy.
za późno…już kupiłem porsche i nieruchomość na pod hipotekę na twoje dane
nawet dowodu nie sprawdzili…
@tomasz: A ja to samo zrobiłem na Twoje dane, więc w sumie bilans się zgadza.
moje dane wyciekły i mam to gdzieś, zastrzegłam pesel (sam nie wiem po co i żyje dalej). Ludzie… Takie akcje będą na porządku dziennym.. Ten co krzyczy że jego pesel wyciekł sru sru sru jutro dyktuje w aptece ten sam ciąg liczb żeby kupić maść na ból dupy… Życzę wszystkim więcej luzu to i maść nie będzie potrzebna :)
Nie dyktuje, pokazuje kod QR.
W aptekach DOZ nawet możesz samemu wszystko wklepač na tablecie.
Powtarzasz się, sru sru
Czyli czas na pozew zbiorowy przeciwko Alab o zle zabezpieczenie danych…niech płacą..
no to powodzenia jeśli to przestępstwo było ( a informacje sugerują, że tak było)…
najpierw na pewno oskubie cię prawnik, który obieca wszystko co zechcesz a na koniec powie “głupi sąd się nie znał” albo “widocznie “neosędzia to był”, albo “sędzia z kasty” ( w zależności od poglądów)
A papierowej dokumentacji medycznej to ktoś pilnuje czy też może ją sobie jakiś wielbiciel przywłaszczyć?
@A.
Teoretycznie pilnuje, a praktycznie to spotyka się różne historie. Nie zakładaj że papierowa jest w 100% bezpieczna.
Dajcie linka, albo sami wystawcie stronę na której można to sobie sprawdzić. Mam nieodparte wrażenie, że ta rządowa strona działa jak wszystko inne do czego nasza administracja się przyłożyła.
Dołączam się do pozwu… Alab poinformował o wycieku 28.12 do tej pory nie odpowiada na żadne wiadomości… inne osoby dostały informacje 30.12. Później brak kontaktu.
Moje dane wyciekły i nawet nie mam konkretnej informacji co lata po świecie teraz.
Zastrzeżenie pesel zacznie działać dopiero za pół roku skutecznie, więc do tego czasu przestępcy mają sporo czasu na chwilówki.
Czy ten numer zamazany w XML to numer dowodu czy numer telefonu?
W XML jest więcej danych niż w PDF z wynikiem badania.
Dopiero tutaj widać, że poleciał też adres.
Co rząd na to i bankowość? Teraz każdy poszkodowany powinien mieć problem z wzięciem gdziekolwiek pieniędzy, w tym w chwilówkach, a wszystkie wątpliwości powinny być rozpatrywane zawsze na jego korzyść. Zawszs, bo dane PESEL nigdy nie ulegają zmianie! Gdzie nowy rząd i wprowadzenie przepisów ochronnych w tej sytuacji, skoro to rząd polski nakazuje trzymanie tych danych przez lata? Nikt się nie kontaktował z osobami z mojej rodziny, które miały badania w ALAB. Lekceważenie, i tyle.
Na bezpieczne dane.gov.pl mogę sprawdzić swoje dane, ale jak sprawdzić możliwy wyciek danych swoich dzieci, które miały badania w słabiej?
To jak postępuje Alab jest po prostu żałosne. Nic nie zrobili po wycieku. Osobiście do końca życia będę unikał ich usług przy zlecaniu badań
Super że informujecie o tym – ale przydał by się wgląd w tą bazę – czyli pobranie jej i sprawdzenie czy nie ma tam peseli naszych dzieci i nas samych.
Czyli jaki zakres lat jest? Zakresy PESEL idą co 20 lat, więc pytanie co jakie tam są zakresy dwóch pierwszych cyfr z podziałem pogrupowanej według 3 cyfry. Albo inaczej co jest w zakresie 00-24, a co w zakresie 25-99?
A co z osobami którym mimo wycieku pełnych danych to wyciekły jeszcze wrażliwe dane medyczne? W USA ludzie by puścili ten januszex z torbami.. ale niestety żyjemy w Polsce :/
A potem będziesz latał do USA żeby sprawdzić czy masz owsiki w kale :)
masz niesamowite podejście @źwy. W zasadzie niesamowite że umiesz pisać.
Pewnie nie chcieli zapłacić okupu to teraz zapłacą klienta, i tak stracą kasę i tak.
Stan danych (2024.01.03 22:36) z bezpiecznedane.gov.pl:
Przestępcy poinformowali, że będą publikować dane stopniowo,
więc sprawdzaj swoje dane regularnie.
Ostatnia aktualizacja danych: 21.12.2023 r.
Wy to się lepiej zastanówcie co bedzie, gdy zostaną przejęte e-dzienniki. Ich zabezpieczenia są takie sobie.
A potem pomyślcie co bedzie gdy jakiś głupek słabo zabezpieczy nowo integrowane przez wojsko bazy ludności (w tym ZUS i US, itp).
A przecież możliwe jest też fizyczne zaatakowanie serwera i jego klonów.
Tak można rozwalić cały kraj; jednym pociskiem MOAB.
A powodem rozwałki nie będzie de facto hacker lecz rząd, który chce mieć wszystko o nas w jednym miejscu i na tacy.
…i wszystko jasne.
Trochę nie rozumiem jak np 0227 jest początkiem PESELu – 02 to rok, 2002, ale 27? Brzmi jak dzień miesiąca, a w tym miejscu PESEL jest numer miesiąca.
dziadzia wpisze w goglach “format pesel po 2000” tam bedzie napisane czemu
od roczników 2000 w górę do liczby określającej miesiąc urodzenia dodaje się 20
21 to styczeń
.
.
32 to grudzień
Dla roczników 2000-2099 dodaje się 20 do miesiąca żeby nie było duplikatów z rocznikami 1900-1999. I tak jeszcze przez paręset lat skok o 20.
Po 2000 roku występuje +2 na 3 cyfrze więc lipiec 2002.
To znaczy, że ten ktoś urodził się po 01.01.2000, bo PESEL po 2000 roku powstaje poprzez dodanie liczby 20 do liczby oznaczającej miesiąc urodzenia
Dla osób urodzonych w latach 2000-2099 do miesiąca dodaje się 20, więc 0227 to jest lipiec 2002. Przyczyną jest zapis roku na dwóch cyfrach i konieczność rozróżnienia stulecia.
https://pl.wikipedia.org/wiki/PESEL#Data_urodzenia
“Numer PESEL po 2000 roku różni się od tych wydawanych do 1999 roku włącznie numerem oznaczającym miesiąc. Wcześniej były to liczby od 01 do 12, po 2000 roku dodaje się do nich liczbę 20, co oznacza, że mogą to być liczby od 21 do 32. Zabieg ten pozwala nadać inne numery PESEL osobom urodzonym tego samego dnia i miesiąca, ale urodzonym dokładnie 100 lat po sobie.”
Więc teraz wszystkie biedaki takie jak ja biorą chwilówek ile się da przez Internet a później idą w zaparte że to hakery z RA nabrali :D… Martwi mnie podejście nas wszystkich każdy trochę pożartuje, pośmieje się a powagę sytuacji znają nieliczni, bez obaw chwilówek nikt nie weźmie skoro mają pomysł jak kraść miliony to nie będą się po grosze schylać, jednakże jeśli szanowny alab nie płaci, rząd raczej to woli omijać… to prosta sprawa trzeba ludzi zbuntować i jednak coś głupiego zrobić jak kilkadziesiąt tysięcy ludzi dostanie wezwania z zagranicznych banków o karty kredytowe to i alab i rząd szybciutko załatwią sprawę
PS. dodam tylko dla tych co hcą by opublikować wincy danych lub nawet strone podać, po co jak nawet tam nie wejdziecie to nie blog piesek.pl a dwa bez wiedzy sciagac cokolwiek to jak szubienice samemu sobie wiązać ;) po trzecie to nielegalne wiec nie mozna publikować publikować namiary po czwarte odpuść, i bezpiecznie poczytaj choćby tutaj
Więc teraz wszystkie biedaki takie jak ja biorą chwilówek ile się da przez Internet a później idą w zaparte że to hakery z RA nabrali :D… Martwi mnie podejście nas wszystkich każdy trochę pożartuje, pośmieje się a powagę sytuacji znają nieliczni, bez obaw chwilówek nikt nie weźmie skoro mają pomysł jak kraść miliony to nie będą się po grosze schylać, jednakże jeśli szanowny alab nie płaci, rząd raczej to woli omijać… to prosta sprawa trzeba ludzi zbuntować i jednak coś głupiego zrobić jak kilkadziesiąt tysięcy ludzi dostanie wezwania z zagranicznych banków o karty kredytowe to i alab i rząd szybciutko załatwią sprawę. PS PS. dodam tylko dla tych co hcą by opublikować wincy danych lub nawet strone podać, po co jak nawet tam nie wejdziecie to nie blog piesek.pl a dwa bez wiedzy sciagac cokolwiek to jak szubienice samemu sobie wiązać ;) po trzecie to nielegalne wiec nie mozna publikować publikować namiary po czwarte odpuść, i bezpiecznie poczytaj choćby tutaj
Moje dane się znajdują w tym wycieku co robić jak żyć?
Gdzie można pobrać te pliki? Poproszę linka
O to link do wycieku: https://rroll.to/Rd9VmV
Ktos sprawdzal ten link czy to wirus?
Czy ktokolwiek dostał od nich kod do BIKu? Idzie to od nich w jakikolwiek sposób wyegzekwować? Niestety mi się nie udało do tej pory mimo codziennych prób kontaktu na wszystkie kanały… Chciałbym ich gdzieś z tego powodu zgłosić, a nie wiem nawet gdzie.
Bardzo łakomy kąsek dla firm ubezpieczeniowych. Dzięki wynikom badań miałyby od razu wskazówkę komu nie oferować np. ubezpieczenia na życie.
Czy coś wiadomo czy wycieki zawierały dane z LM Bruss, który jest w grupie ALAB? Napisałem wiadomość do oficera RODO w Alab ale nie dostałem odpowiedzi.
Nowe Ogrody Gdańsk ?
Jesli “trafilem” to tak.
Na bezpiecznedane.gov.pl ostatnia aktualizacja danych jest z 21 grudnia 2023 i piszą tylko o pierwszej i drugiej puli wycieku. Czyli, choć minął już miesiąc od publikacji tego artykułu, ta trzecia pula nie została tam uwzględniona?