11:25
27/11/2023

Włamywacze z ransomwarowego gangu “RA World” opublikowali informację o ataku na firmę “ALAB laboratoria“, popularne w kraju laboratorium diagnostyczne. W udostępnionym pliku, który pobrało już 100 osób, znajduje się 54 000 wyników badań pacjentów. Wyciek jest poważny, nie tylko dlatego, że wyniki badań medycznych opisują stan zdrowia poszczególnych pacjentów, ale także ze względu na to jak wiele danych osobowych znajduje się w udostępnionych plikach. Są:

  • Imię i nazwisko
  • Pesel (a więc i data urodzenia)
  • Adres zamieszkania (choć nie zawsze pełny)
  • Rezultat badań (cytologia, krew, mocz, w różnym zakresie, np. na HIV)
  • Numery identyfikacyjne pacjenta,
  • Informacje o zleceniodawcy lub lekarzu zlecającym,
  • Daty wykonania badań,

Alab zhackowany przez RA World

Ta historia zaczyna się już kilka dni temu, a dokładnie 19 listopada. To wtedy na stronie grupy RA World pojawia się “zajawka” nowej ofiary tego gangu:

Dziś na stronie grupy RA World wpis poświęcony tej ofierze wygląda tak:

Przestępcy informują, że wykradli z Alabu aż 246 GB danych. Ale paczki z wszystkimi danymi jeszcze nie opublikowali. Umieścili za to link do próbki wykradzionych danych. Ta waży 3,5 GB i pobrało ją już 100 osób. Są w niej dwa archiwa.

  1. UMOWY.tar o wielkości 1,1 GB.
  2. Laboratory_Test_Reports.tgz o wielkości 2,4 GB.

Pierwsze archiwum zawiera pliki PDF dotyczące działalności samej spółki ALAB i dane jej kontrahentów. W katalogach są typowe dokumenty, które każda z firm posiada na swoich serwerach: skany polis ubezpieczeniowych pojazdów, umowy na usługi wynajmu, umowy na usługi bankowe, akty notarialne, umowy powierzenia danych, itp.

Drugie archiwum jest bardziej niepokojące z punktu widzenia większości Polaków…

Na razie zaboli pacjentów z Warszawy, Łodzi i Łomianek

Drugie archiwum zawiera wyniki ponad 54 000 badań, które zostały zlecone ALAB-owi przez 3 zleceniodawców

Klinika z Łomianek
(okres badań: 31 październik 2017 do 26 maja 2020)

Klinika z Warszawy
(okres badań: 23 marzec 2021 do 27 kwietnia 2023)

Praktyka lekarska z Łodzi
(okres badań: 21 kwietnia 2021 do 27 września 2023)

Fragment przykładowego pliku z wynikami

Dodajmy, że na wynik jednego badania (jednego pacjenta) składają się pliki XML i PDF. Obecność plików XML jest o tyle problemowa, że znacząco ułatwia przeszukiwanie zbioru pod kątem konkretnych osób. W tych plikach znajdują się m.in.:

  • PESELe,
  • daty urodzenia,
  • imiona i nazwiska,
  • adresy,
  • numery identyfikacyjne pacjenta,
  • informacje o zleceniodawcy lub lekarzu zlecającym,
  • daty wykonania badań,
  • wyniki badań.

To tylko próbka, ale…

Opublikowane dziś przez przestępców dane to tylko próbka (2,4 GB z zapowiadanych 246 GB). W “komplecie wykradzionych danych”, jeśli wierzyć złodziejom, zapewne będzie tego zdecydowanie więcej. Na razie należy założyć, że na pewno wyciekły dane pacjentów 3 konkretnych praktyk medycznych, które we wskazanym wyżej okresie zleciły badania Alabowi.

Tu wypada podkreślić, zwłaszcza pacjentom tych 3 praktyk (i ew. kolejnych, które zostaną ujawnione), że to nie po stronie zlecających praktyk / lekarzy należy doszukiwać się ewentualnych zaniedbań. Po prostu pechowo dla Was, przestępcy do próbki wybrali tylko te 3 współpracujące z Alabem podmioty.

Kiedy i jak doszło do kradzieży danych medycznych?

Na podstawie znaczników czasowych można domniemać, że włamywacze mieli dostęp do systemów Alabu po 27 września 2023. Do finalizacji samego ataku mogło dojść 16 listopada, sądząc po informacjach o modyfikacji plików zawartych w ujawnionych próbach. Od czego zaczął się atak? Czy zaszyfrowane zostały dane na firmowych serwerach i czy udało się je przywrócić z kopii bezpieczeństwa? Jedyne czego można się domyślać, to że ALAB nie zapłacił okupu, skoro wykradzione dane zostały opublikowane.

Zapewne więcej informacji na ten temat mogłaby nam przekazać firma ALAB. Zwróciliśmy się już do jej rzecznika prasowego z pytaniami dotyczącymi m.in. ogólnej liczby osób, których mógł dotyczyć wyciek. Czekamy na odpowiedzi.

Badałem sobie krew i mocz — co robić, jak żyć?

To dobrze, że sobie badałeś. Badać się warto. Niestety, przekazując komplet danych osobowych (wciąż ciężko nam zrozumieć, dlaczego w medycynie nie wdrożono anonimizacji? Po co laboratoriom pełne dane pacjenta?), trzeba się liczyć, że Twoje dane wyciekną. Za to regularne badania mogą Ci uratować życie. Albo je uprzykrzyć, jeśli ktoś odkryje, że masz HIV lub chorujesz na kiłę.

Pod kątem cyberbezpieczeństwa, dostęp do ujawnionego w tym wycieku danych zakresu informacji może pomóc przestępcom w lepszym dopasowaniu do Ciebie ataków socjotechnicznych (np. na pracownika banku).

W przeciwieństwie do wycieku haseł, PESEL-u nie da się zmienić. Ale możesz go od niedawna zastrzec. I chyba nie ma na co czekać, warto to zrobić — instrukcję znajdziecie tutaj.

Osobom, które badania dopiero zamierzają robić i będą je robić prywatnie, podpowiadamy: nikt w laboratoriach diagnostycznych nie sprawdza czy podawany numer PESEL i adres zamieszkania są prawdziwe. Choć, jeśli wyniki badań są wymogiem do operacji lub badania tomografem, to tam PESEL-e (ze swojego systemu i z wyników) będą już porównywać.

Na koniec przypomnijmy, że parę lat temu informowaliśmy o wycieku od konkurenta Alabu, serwisu “uPacjenta.pl”. Sami diagnosci zresztą, jako grupa zawodowa, też mieli ostatnio problemy z ochroną danych.

Polskie firmy z branży medycznej miewają różne wpadki, ale ten wyciek może być jednym z najbardziej bolesnych, jakie widzieliśmy.


Aktualizacja (27.11.2023 15:50)
Serwis z którego można było pobrać plik z próbką skasował ten plik ze swoich serwerów. COI udostępniło możliwość sprawdzenia swojego peselu pod kątem tego wycieku w rządowym serwisie (wymaga to jednak zalogowania profilem zaufanym i z jakiegoś powodu także podania adresu e-mail). Nie ma sensu się sprawdzać, jeśli nie byliście pacjentami wymienionych przez nas wyżej 3 klinik w podanym przez nas wyżej czasie. ALAB zaś w końcu wydał oświadczenie.

Przeczytaj także:

100 komentarzy

Dodaj komentarz
  1. Pełne dane są wymagane procedurami medycznymi i podwójną weryfikacją, żeby pacjent otrzymał swój wynik, niestety sam PESEL to za mało. To jest pikuś poczekajcie aż padnie IKP gdzie jest wszystko.

    • Tylko czemu nie można dać pacjentowi np. numeru fiolki do której pobierana jest krew w ramach weryfikacji? Ewentualnie dowolny inny jednorazowy kod. A zarzut nie był chyba do ALABu, tylko do regulatora, który właśnie tych danych (prawdziwych i “trwałych”) wymaga

    • Dane osobowe na badaniu są prawdopodobnie po to, żeby idąc z wynikami do lekarza było wiadomo, że nie przedstawia się cudzych badań. A to jest na przykład po to, żeby nie wyłudzać leków albo żeby kogoś nie szantażować(na przykład pokazując cudze badania o ciąży) itd. No i to, że ktoś zrobił sobie badania, w tych badaniach coś złego wyszło i te badania są przypisane do konkretnej osoby powoduje, że takie tłuste koty jak ubezpieczalnie czy organy ścigania mogą użyć takich badań przeciwko komuś. Także fajnie byłoby móc zrobić anonimowe badania ale gdy wyjdą one źle to dopiero takie imienne powinny być podstawą do leczenia.

    • Jednorazowy kod to oni dają ale w przychodni – żeby elektronicznie dostać się do własnych wyników…

    • Przecież to jakieś kuriozum. Jeżeli chodzi o weryfikację pacjenta to wystarczyłoby przepuścić przez jakiś bezpieczny hash wszystkie dane wrażliwe. Niebo bezpieczniej. Mało tego, pewnie nawet można by użyć podpisu cyfrowego na QR kodzie, żeby autoryzować te wyniki. To już jest ogromne utrudnienie, bo poza danymi klientów trzeba by mieć bazę PESEL. A nawet jak się ma bazę PESEL dla PL to trzeba by liczyć hashe dla każdego, co może wymagać sporych mocy obliczeniowych. Trzeba by tylko mieć standard na poziomie regulatora.

    • To jak działają anonimowe badania na HIV? w punktach PKD. Przy badaniu nie wymagają podania danych jak i dokumentu tożsamości. Za to ustala się hasło do odbioru wyniku, przy odbiorze podaje się tylko to hasło i otrzymuje się kopertę z wynikiem.

    • Odpowiedź do: oic. 2023.11.27 16:32.

      Nikt w laboratorium jak dajesz badania, nie sprawdza czy to Ty i czy to Twój pesel, równie dobrze możesz podać “Mietek Gąbka” i pesel z jakiegoś generatora, tak samo możesz podać dane kolegi/koleżanki, jeśli chcesz wyłudzić leki. W czym problem też wydrukować to i zmienić na papierze/PDF przed drukiem? To słabe zabezpieczenie

  2. Czy istnieje możliwość sprawdzenia czy swoje dane są zawarte w wycieku? jakiś haveibennpwned ?

    • Jest już na bezpiecznedane.gov.pl

      To znaczy jest ten fragment co już został ujawniony.

    • Co z tego że jest na bezpiecznedane.gov.pl skoro nie mogę sprawdzić peselu np. swoich dzieci…

  3. Hej, gdzie znalezc te liste zeby zobaczyc czy tam sie jest?

    • Dane były hostowane na zwykłym hostingu plików i już został zdjęty przez dostawcę. Tylko czekać aż trafi w kolejne miejsce, bo raczej nie zapłacą.

  4. Jeśli wierzyć informacjom w artykule który linkuję poniżej, to zastrzeżenie pesel jeszcze nie pomoże:
    https://prawo.gazetaprawna.pl/artykuly/9355094,zastrzezenie-numeru-pesel-na-razie-przed-niczym-nie-uchroni.html

    “Przepisy przewidują obowiązek sprawdzenia czy PESEL jest zastrzeżony od 1 czerwca 2024 r.. Teraz, nawet gdyby jakaś instytucja chciała takiego sprawdzenia dokonać, nie ma takiej możliwości technicznej. To jeszcze nie działa.”

    • Ale zaraz zacznie. Naprawdę nie ma co czekać. Ale jak ktoś woli prokrastynować, to niech sobie ustawi przypomnienie na za miesiąć, bo pierwsi sprawdzający ten rejestr maja do niego przystąpić na przełomie roku — czyli wcześniej niż przed czerwcem :)

    • Jakim cudem te dane nie byly zaszyfrowane?

    • @Redakcja, to dobra wiadomość, że jednak wcześniej niż przed czerwcem. Bynajmniej, nie chodziło mi o to, żeby kogoś zniechęcać do zastrzeżenia peselu, tylko byłem zaniepokojony.

    • > Jakim cudem te dane nie byly zaszyfrowane?

      Poniewaz wielu Januszy komunizmu ma cos takiego jak bezpieczenstwo w d* i wola wydac ta kase na pier* (ala zlote klamki) niz na cos co sluzy bezpieczenstwu ich pacjentow — jakolwiek kapitalizm/demokracja sa mniejszym zlem, to tresowanie ludzi w kierunku bezmyslnego i skoncentrowanego (de facto) w 100% na sobie wydawania kasy, zeby ekonomia sie krecila to spoleczna choroba.

    • Rozwiajajac wczesniejsza mysl do analogi medycznej, na pytanie co bys wolal:
      1. Maszyne do RTG niczym z hollywoodzkich filmow, ktora srednio raz do roku smazy pacjenta (z zejsciem dobrze wypieczony)
      2. Brzydkie dziadostwo, ktoremu technologicznie blizej to steampanka niz wspolczesnych technologi, oferujace takie same parametry/trwalosc/cene, tylko bez smazenia

      odpowiadaja:
      3. Pierwsza maszyna, tylko zakontraktowane ze producent bierze na siebie “problemy” a ja o niczym nie chce wiedziec, i to jest wporzadku bo wiedza jest dla kujonow i innych nerdow :p

    • > “Jakim cudem te dane nie byly zaszyfrowane?”

      To jeszcze nic. Wszystko co się dzieje z pacjentem praktycznie w czasie rzeczywistym idzie do rejestru zdarzeń medycznych w CeZ a dodatkowo dokumentacja medyczna pacjenta MUSI być zaindeksowana w CeZ i udostępniana innym podmiotom lecznicznym na żądanie w sposób elektroniczny. Czyli pacjent X ląduje w szpitalu A, ale wcześniej leczył się w szpitalu B – szpital B indeksuje dokumenty pacjenta X w CeZ i lekarz w szpitalu A może sobie w CeZ przejrzeć spis dokumentów pacjenta X i pobrać elektronicznie potrzebne dokumenty ze szpitala B. To jest super jeśli chodzi o ratowanie życia w nagłych przypadkach ale… w zasadzie dowolny lekarz dowolnego podmiotu leczniczego ma dostęp do danych dowolnego pacjenta. Niby domyślnie jest potrzebna zgoda pacjenta w IKP dla danego lekarza/podmiotu, ale lekarz zawsze ma możliwość obejścia braku zgody zaznaczając, że jest to nagły przypadek i chodzi o ratowanie życia – wprawdzie CeZ rejestruje takie requesty, ale równie dobrze ktoś z działu IT w szpitalu może ukraść certyfikat lekarza (wiele systemów “dla wygody” pozwala na przechowywanie tego certyfikatu lekarza razem z PIN-em, żeby nie trzeba było go ciągle wpisywać :D), do tego ukraść certyfikat podmiotu i… może sobie pobrać dokumenty dowolnego pacjenta w Polsce “na rachunek lekarza”.
      Siedziałem w tej branży jakiś czas i co tam się dzieje… włos się jeży na głowie!

    • @Piotr: Lekarz jest zawodem zaufania publicznego i jako taki ma większy dostęp do wielu danych, w tym przypadku pacjenta. To samo dotyczy urzędników, sędziów, notariuszy i wielu innych. Nie da się zrezygnować z tego inaczej niż tylko kosztem pacjenta, a częściowym rozwiązaniem są szerokie logi i audyty/kontrole bieżące, które pozwolą szybciej znaleźć ewentualne nadużycia w tej kwestii.
      Nie ma prostych rozwiązań, a tym bardziej tanich.

    • Potwierdzam co Piotr powiedział. PESEL pacjenta wystarczy by dowiedzieć się całej jego historii, informatyk pracujący przy niektórych z tych systemów może to nawet zrobić bez zostawiania jakichkolwiek śladów.

    • Wiadomo, kto jest wlascicielem firmy ALAB ?

    • @Rafik

      W KRS możesz sprawdzić.

  5. Będzie ciekawie, umowy mieli podpisane z aresztami śledczymi, zakładem karnym. W przypadku ujawnienia pełnej paczki może znaleźć sie informacja, że dana osoba miała badania będąc w areszcie / więzieniu.

    • To akurat “dobrze”,bo oznacza,że ci przestępcy wkurwią całe mnóstwo innych przestępców jeśli ujawnią dane “kolegów po fachu”.

  6. “trzeba się liczyć, że Twoje dane wyciekną” – paradne, doprawdy stwierdzenie w sekcji “Co robić, jak żyć?”.
    Ta firma pracuje dla placówek zakontraktowanych przez NFZ. Może zrezygnować z NFZ? Tym bardziej, że IKP też może ulec

  7. Skandalem jest, że ujawnienie PESEL może być w jakikolwiek sposób niebezpieczne. To jest priorytet do zmiany!

    • Może być niebezpieczne, choćby przez socjotechnikę “W ramach potwierdzenia, że dzwonię z banku podam Panu/Pani dwie ostatnie cyfry numeru PESEL”. Tutaj żadne zmiany prawa nie pomogą

    • Sam PESEL na nawet cały set danych ma małą wartość dla fraudziarzy ale jak dołożysz SE to jest to ryzyko z górnej półki.

    • Ujawnienie samego nr-u PESEL nie jest niebezpieczne. Nr PESEL nie jest nawet tajny i w przypadku wielu osób można go swobodnie pobrać z różnych źródeł. Jeżeli ktoś nie robi pseudozabezpieczeń z nr-em PESEL jako hasłem (ekhem ekhem… Alab to robi(ł?), Diagnostyka robi :P), to nie powinno być bólu.

      Problemem jest ujawnienie szerszego kompletu danych osobowych, bo te mogą już zostać użyte do podszycia się pod ofiarę. Ewentualnie do wyciągnięcia z niej dodatkowych informacji lub „zachęcenia” do określonych działań.

      Analogicznie, „zastrzeżenie PESEL” nie dotyczy zrobienia czegokolwiek z nr-em PESEL. Dotyczy dopisania *osoby* do rejestru, figurowanie w którym automatycznie unieważnia szereg umów zawartych przez taką osobę. Z nr-em PESEL ma to tyle wspólnego, że jest on używany jako identyfikator.

  8. Wyciek pierwsza klasa, akurat pod koniec roku gdzie firmy zaczynaja myslec o cyberbezpieczenstwie :D

  9. Jak skutecznie zastrzec numer pesel? bo ta usługa w mobywatel to na razie jakiś żart, bo zacznie działać dopiero od czerwca 2024

    • Na przeglądarkowym serwisie obywatel.gov.pl

  10. Jedynym plusem tego jest, że zwykły Kowalski nie znajdzie tej paczki danych. Nie sądzę, żeby po zwykłym internecie to latało.

    • Może nie jestem takim zupełnie zwykłym Kowalskim, ale znalazłem tę paczkę bez problemu (w domenie .onion oczywiście). Obawiam się, że Ci którzy zapragną z tej paczki zrobić użytek, również bez problemu znajdą kogoś, kto im ją ściągnie…

    • O ile strona groupy była na torze, a tyle pliki hostowane były już na darmowych powszechnych hostingach i każdy kto dostał link mógł już to pobrać przez kombinacji z chroma.

  11. ALAB musiał coś wiedzieć już około 26 października – sam miałem robione wtedy badania i (po raz pierwszy) nie mogłem pobrać ich wyniku przez Internet + część poprzednich badań też była niedostępna mimo że wcześniej miałem do nich podgląd. Znajomy kilka dni wcześniej miał to samo.

    No teraz już wiem dlaczego musiałem odebrać wyniki osobiście :D

    • Tomek jeśli już miesiąc temu nie mogłeś pobrać wyników i alab zmusił Cię do osobistego odbioru to napisz to w mailu do uodo – to może być bardzo ważna informacja dla nich, dla wyjaśnienia sprawy, dla oceny działań (lub zaniedban) alabu

    • Ten system działał kulawo i rok i 2 lata temu, tzn. były dni, kiedy nie działało.

  12. i jaki konkretnie tego plus? nawet jeżeli ta próbka spadła już z serwera w “zwykłym internecie” ? zwykły kowalski nawet nie ma mozliwości sprawdzić czy jego dane zostały skradzone czy nie.

  13. Dziś oddawałem krew do badania. Pani na dzień dobry poprosiła o dowód osobisty i spisała pesel.

    • Od dawna myślałem o lewym dowodzie do właśnie takich celów.

  14. A mamy niezwykły internet? Czytaj ze zrozumieniem. Każdy może pobrać udostępnione, spakowane dane z ich bloga – przecież napisali, że upubliczniona “pierwsza paczka” została pobrana już sto razy…… Grożą, że upublicznią wszystko co wykradli jeśli alab nie zapłaci okupu. Ciekawe czy każdy pobierający nie dostał od nich dodatkowego prezentu w postaci jakiejś aplikacji/programu szpiegującego……

    • Ciekawe w jaki sposób, skoro w archiwum były tylko pliki PDF i XML.

  15. Dzisiaj pokrążyłem trochę pomiędzy różnymi instytucjami i pokojami w tychże instytucjach (w Warszawie). Czego się dowiedziałem.

    1) Pracownik stacjonarnego punktu Alabu twierdzi, że o wycieku dowiedział się rano z mediów. Nic nie może zrobić, o niczym nie wiem, strona leży, mogę próbować telefonicznie w centrali… jeśli dam radę się dodzwonić.
    2) W szpitalu, który w przeszłości zlecał badania w Alabie, nie są nawet świadomi tego, że wyciek był. Od kancelarii, przez dział IT, po inspektora ODO. Nikt nawet do końca nie wie, jakie dane Alab posiada, jakie były umowy, na jaki czas dane powierzone.
    3) Udało mi się wydłubać informację, że serwer z danymi w trakcie trwania umowy z Alabem był fizycznie u administratora danych osobowych i Alab miał do niego dostęp zdalny do pobierania wyników. Jeżeli podobna sytuacja była w innych miejscach i nie mamy masowego niezauważenia gigabajtów danych wysysanych ze szpitalnych serwerów, to może skala wycieku jest mniejsza, niż się wydaje. Jeżeli jednak atakującym udało się dane zassać z serwerów u zleceniodawców Alabu, to mamy niezłą wtopę sięgającą daleko poza Alab.
    4) Wisienka na torcie: administrator danych osobowych po zakończeniu umowy z Alabem… przekazał serwer z danymi Alabowi. Niestety nie wiem po co i na jakiej podstawie.

    • Rozumiem, że oczekujesz od pracownika punktu pobrań merytorycznej rozmowy na temat wycieku danych? Czy może od razu, że gość wyciągnie wtyczkę komputera z gniazdka żeby ratować twoją prywatność przed dalszym naruszaniem?

  16. A mnie zastanawia, dlaczego ten obszar nie funkcjonuje podobnie jak temat wadliwych konstrukcji budowlanych. Tam odszkodowania idą w setki milionów, więc podmioty zaangażowane mają stosone OC, które wymuszają wdrażanie stosownych zabezpieczeń i praktyk.
    Jeśli kara za wyciek obciążałaby firmę, jej zarząd do poziomu dyrektorów oraz właścicieli, a na rynku funkcjonowały by usługi które poza wdrożeniem i audytowaniem, pokrywałyby kary w sposób podobny do ubezpieczeń OC, to mielibyśmy spokojną głowę. A tak zawsze znajdzie się chytry, bo oszczędzili kupę kasy idąc na skróty, a teraz zapłacą pacjęci.

    • Może dlatego, że w konstrukcjach budowlanych jest jasno: jak zrobisz tak i tak, to będzie dobrze i się nie zawali. W cyberbezpieczeństwie nie ma ŻADNEJ gwarancji, że jak coś zrobisz/kupisz/wdrożysz, to unikniesz włamania. Możesz zrobić wszystko co możliwe, ale i tak możesz paść ofiarą wykradzenia danych. Ciężko za to wsadzać do więzienia.

    • Bo oprogramowanie jest znacznie bardziej złożone niż budynki. Nie można także dać zapasu wytrzymałości, który się stosuje w budownictwie.

      Świadczy o tym to, że wycieki zdarzały się największym i najlepiej zabezpieczonym.

  17. informację że tak powiem z pierwszej linii – diagnosta laboratoryjny z tej strony. Co prawda nie z alabu ALE
    – przed pobraniem materiału do badania jest OBOWIĄZEK weryfikacji dowodu osobistego – z bardzo prostego powodu . Na podstawie wyników wprowadzane jest leczenie (lub nie) i karygodne jest w praktyce laboratoryjnej nieweryfikowanie czy material na pewno jest tego pacjenta
    – historia badań, informacje kliniczne są ważne w procesie diagnostycznych i powinny być brane pod uwagę przed wydaniem wyniku i ewentualnych dalszych zaleceń więc wprowadzenie anonimizacji badań mogło by być ogromną szkodą dla pacjentów

    • nie wiem jak konkretnie działa system alabu, ale bardzo często dane o płci i wieku (od czego często zależą granice normy) pobierane są z peselu, więc jak taki 26-letni Adam stanie się 91-letnią Leokadią może się mocno przestraszyć swoimi wynikami

  18. Czy ja dobrze zrozumiałam, że Alab w oświadczeniu napisał że raport z BIKu jest w takiej sytuacji za friko?

  19. Od wczoraj dzwonią do mnie z Tonga i Lesotho. Zastanawiałem się gdzie wyciekł mój numer ale już wiem. Zbyt duża koincydencja. Mój numer prawdopodobnie jest w wycieku.

  20. Firma ALAB powinna skontaktować się z każdą osobą której dane wyciekły i ją o tym fakcie powiadomić. Skąd mam wiedzieć, czy nie ma tam moich danych? Paczki danych przecież nie ma albo nie jest tak łatwo znaleźć. Ich oświadczenie to śmiech na sali. Jako firma zapłacą małą, nic nieznaczącą dla nich karę a klienci czyli przysłowiowy Kowalski zostanie z problemem. Ogólnie jak zawsze czy to przy wycieku danych, czy też przy procederze który bada np. UOKIK.

    • ALAB może nie wiedzieć, co im dokładnie wykradziono. I dlatego się nie kontakował do tej pory.

    • Można sprawdzić tutaj: bezpiecznedane.gov.pl

  21. jak ktos mysli ze alab cos zaplaci :) to jest w grubym bledzie tylko wspolczuje firmie obslugujacej pod katem ich systemow IT i www ;)

  22. Czasem się zastanawiam, czy nie lepiej było w czasach papierowych. Teraz może jest szybciej, ale wszystkiego dużo, dużo więcej do ogarnięcia, w efekcie mamy dla siebie i bliskich mniej czasu niż kiedyś, im więcej załatwić można przez komputer, tym mniej interakcji między ludźmi, a na domiar złego nie mamy wpływu na to kiedy i jakie nasze dane mogą wykraść od innej firmy… Ze wzruszeniem spoglądam na maszynę do pisania, na której jeszcze 10 lat temu wypełniałem formularze na studiach, wprawiając w osłupienie panie z dziekanatu. Żaden kod dwójkowy nie towarzyszył tej czynności ;)

    • Alab to firma, która podciera d00pe szkłem. Nigdy na nic nie mieli pieniędzy. I mówię to jako osoba, która pracowała w firmie współpracującej z Alabem.

  23. Dlaczego dane nie były szyfrowane? Czy GIODO nie wymaga szyfrowania takich danych? Czy mogę ich pozwać?

  24. Czy jest możliwość pozwać ALAB żeby wywalczyć odszkodowanie? Czy można ich jakoś pociągnąć do odpowiedzialności czy w Polsce nic się nie da zrobić a ALAB tylko wydał oświadczenie i ma w dupie.

  25. […] hakerzy rozpowszechnili listę zawierającą dane około 54 tysięcy osób. Podążając za niebezpiecznikiem, były to dane pacjentów z 3 klinik:  Łomianki, Warszawa oraz Łódź. Można więc […]

    • Nie wprowadzaj większego zamieszania niż jest. Przestępcy udostępnili na razie dane około 12 000 osób a nie 54 000 (to jest liczba wyników badań a nie osób).

  26. Darmowy kredyt na Cyber Monday od Alabu

  27. Co Wy macie z tym peselem?
    Imię, nazwisko, pesel, adres dla ogromnej liczby Polaków (pewnie ok. 1/4) są to dane praktycznie ogólnodostępne…

  28. Jak to się ma do Allegro Pay, PayPo i podobnych, gdzie mamy już przyznany limit kredytowy? Czy w trakcie nowego zakupu PESEL musi być odblokowany, czy nie musi być?

  29. Jak dobrać się do tyłka Alabowi? Kontaktowałem się, radzili mi “bym sobie założył profile na stronach weryfikujących bik”. Oni zawinili, ja teraz mam wydawać środki i się martwić?

    • Po co Ci ten kaktus. Bank nie da kredytu na gębę a chwilówki nie sprawdzaja w BIK

  30. ALAB współpracuje np. ze szpitalem w Poddębicach gdzie badania zlecają też przychodnie z okolicznych gmin i tak przychodnia z Dalikowa, w ktorej lecza sie tysiace mieszkancow z okoliczncyh wsi zleca badania ALABowi w Poddębicach. Z perspektywy dokumentu może się wydawać, że to praktyka lekarska jednego lekarza z Dalikowa.

  31. Skoro informacje o wycieku zniknęły z neta to znaczy, że ALAB zapłacił okup? Z ciekawości ile on może wynosić?

    • niestety nie, znikły z chwilowo z hostowanych stron w “normalnym internecie” pewnie zaraz sie gdzieś pojawią
      p.s. nie szukałem może już są

  32. Rozumiem, że na rządowej stronie można sprawdzić tylko, czy znajdujemy się w udostępnionej cząstce 2,4 GB danych? I dopiero jak będą być może kolejne paczki wyciekać, należy powtarzać sprawdzenie?

    • Tak, dokładnie. Kolejne paczki mają rzekomo pojawić się po 31 grudnia

  33. Ponad 30 lat temu wszystko bylo na papierze i działało doskonale, kolejek do lekarzy nie było. Okazuje sie, że cyfryzacja bardziej komplikuje i utrudnia życie i jeszcze naraża ludzi na ataki przestępców

    • Trochę głupio, że ten komentarz nie napisałaś gdzieś na tablicy ogłoszeń pod G-S-em, tylko w Internecie. Nie pasuje to do poglądów

    • I dobrze prawisz! Teraz wszystko kąkuterowo, bez PESELa się nie zarejestrujesz, jakieś IKP z autoryzacją Profilem Zaufanym, masakra.

      Kiedyś szło się do Szeptuchy, nie trzeba było brać ani numerków ani kodów SMS, nie wypisywało się recept tylko dostawało prostą instrukcję “na trzy zdrowaśki do pieca, i zakopać o północy na rozstaju dróg”, płaciło się kopą jaj lub kurą (kto by tam myślał o odprowadzaniu VAT albo kasach fiskalnych!) i wracało się ekologiczną furmanką a nie tam teraz diesle i szatańska fotowoltaika. Kiedyś to były czasy.

    • @Asmodeusz

      Teraz też możesz barterowo sprawy załatwiać. Wystarczy wolna wola obu stron no i fiskus figę z makiem dostanie.

  34. A przepraszam jakie to placówki? W Warszawie masa klinik dowiemy się o którą konkretnie chodzi?

  35. Hmm czas chyba na wszczepianie chipów, wszystkie dane będą z nami :)

  36. Czy wiadomo która to klinika z Warszawy? Podobno ginekologiczna, pytanie która ?

  37. Droga redakcjo! A czy można zrobić coś więcej w tej sprawie niż “tylko” zastrzeżenie peselu?

  38. Dzięki wyciekowi dowiedziałem się, że istnieje COI.

  39. A gdzie szczegóły techniczne jak doszło do włamu? Puszczacie komentarze nic nie wnoszące do tematyki portalu. Nadal brak najważniejszego czyli szczegółów jak doszło do włamu. Dyskusje i komentarze typu “jak zastrzec pesel” są dobre ale na onet.pl a nie na portal o bezpieczeństwie teleinformatycznym.

  40. Jak to kuźwa możliwe, że takie dane są przechowywane na dysku bez jakiegokolwiek zaszyfrowania. Ktoś to to kolekcjonował powinien trafić do paki.

    Z drugiej strony to się nie dziwię, że mają w tyłku bezpieczeństwo, będą mieli jakiś audyt który być może coś wykaże, zapłacą karę i tyle z kłopotów.

    Za to ich klienci, partnerzy, ci to będą mieli kłopoty, być może na wiele lat.
    Ale co to obchodzi firmę ( nie tylko tą ).

    ten gang robi szkodę nie firmie ( jak im się wydaje ), a zwykłym ludziom, którzy być może mają już i tak poważne problemy ze zdrowiem…

  41. teraz Ci których dane wyciekły, mają opłacać abonament na alerty z BIK

    a Państwo-admin danych zwyczajnie informują i przepraszają,
    cyrk

  42. Nie wiem, jak było 27 listopada, ale dzisiaj nie było konieczności podawania adresu e-mail przy sprawdzaniu danych na bezpiecznedane.gov.pl .

  43. Jedno z najprostszych rozwiązań na pozyczkodawcy powinno spoczywać weryfikacja klienta jeśli na Kowalskiego ktoś wziął kredyt ten zgłasza na policję i za automatu pożyczka jest uniewazniona i taki pozyczkodawcy się już sam buja z tematem koniec kropka.

    • Lobby bankowe w porozumieniu z rządzącymi tego nigdy nie zrobi. Pierwsi siedzą w kieszeni drugich i odwrotnie.

  44. Nie się do tego g*wna zalogować: https://bezpiecznedane.gov.pl/

  45. Czu niebepiecznik za przykładem środowisk które wyłoniły kandydaturę na stanowisko rzecznika praw dziecka mogą zaproponować kogoś na stanowisko UODO ?

  46. Cały ten Alab zgodnie z prawem powinien zapłacić karę wg cennika i … ogłosić upadłość. Dane pacjentów powinny być anomizowane już w gabinecie lekarskim. W momencie zlecenia pacjent powinien dostać unikalny kod badania i nim się posługiwać. Bez żadnych danych osobowych. To jest nie do pomyślenia aby w dzisciejszych czasach prywatna firma gromadziła i przechowywała dane osobowe Polaków razem z ich moczem i kałem.

  47. Przyłączam się do tych przedmówców, którzy pytają, czemu to nie było zaszyfrowane.

    I tych pytających o szczegóły techniczne wycieku. Bo jedno z drugiego może wynikać (np przejęcie pulpitu osoby która otworzyła szyfrowany dysk swoimi credentialami)

  48. Co za beznadzieja. Zrobiłem jedno badanie w przeciągu ostatnich kilku lat i być może trafiłem do wykradzionych danych.

    I co da te zastrzeżenie PESEL

  49. A nie sądzicie że ten niby wyciek danych moze być sprytnym atakiem przecież pdf-y da rade zainfekować.

    • @Andrzej 1393

      Why not both

  50. Czy Profil zaufany jeszcze działa?

  51. Zlikwidować cały ten cyrk z cryptowalutami i nie będzie tematu z atakami ransomware i żądaniami okupu

  52. I jakby tego było mało całe to IKP, e-recepty, e-skierowania, diagnozy, zdarzenia medyczne/edm i w sumie wszystko, jest przez te kolesiostwo (rząd i wielkie firmy typu ALAB) zamknięte tak że tylko oni mają prawo przechowywać te dane. Także nie ma możliwości nawet stworzyć jakiejś alternatywy dla ALAB czy IKP, ani się z nimi zintegrować bez kolesiostwa, wysyłania formularzy i dużej papierologi. Nie ma żadnego API do IKP, e-recept itp. Ja chce self-custody do moich danych medycznych a nie że one są na IKP gdzie c.uj wie co się z nimi dzieje i gdzie nie wiadomo czy ich minister zdrowia przypadkiem nie czyta w czasie wolnym. Chce mieć własny klucz prywatny którym te dane są zaszyfrowane. Rozwija się medycyna spersonalizowana i gdzie ja mam moje dane medyczne takie jak WGS (whole genome sequencing – cały mój “kod DNA”) przechowywyać, u nich na IKP!? Niedojdy. Dawać API i publiczne open-sourcowe standardy wymiany i przechowywania danych, jak ktoś chce to niech ma wybór. Również w druga stronę nawet jakbym chciał to nie mogę aplikacji fitnesowej połączyć z IKP bo IKP zrobiło tylko integracje z Google Fit czyli tworzą monopol i nikt poza Google ni c.uja nie połączy się z nimi żeby wgrać dla lekarza dodatkowe informacje. Trzeba czekać aż kolejne 100 mln PLN zostanie dodane by dodać np. śledzenie diety do IKP, zamiast pozwolić aplikacjom już dostępnym na rynku się z IKP zintegrować zwykłym API. Zrobione przez państwo = syf.

  53. […] na darknetowej stronie grupy przestępczej, która zhackowała lobarotaria ALAB, pojawiły się kolejne pliki do pobrania. Obecnie zakres wycieku obejmuje następujące […]

  54. […] incydentów tego typu w branży medycznej w ostatnich latach. Pod koniec listopada doszło do wycieku danych tysięcy pacjentów i wyciek ten spowodowała grupa przestępcza, która zaatakowała ALAB oprogramowaniem ransomware. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: