Do internetu trafiły wyniki badań medycznych wykonanych przez ostatnie kilka lat w jednej z największych ogólnopolskich sieci laboratoriów medycznych, firmy ALAB. Wyciek jest skutkiem ataku grupy ransomware, a dane to podobno tylko próbka.
To jeden z tych artykułów, których wolelibyśmy nigdy nie napisać. Niestety skutki tego ataku ransomware odczuje co najmniej kilkadziesiąt tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci ALAB laboratoria. Szerzej nieznana grupa ransomware RA World opublikowała na swoim blogu nie tylko informację o skutecznym włamaniu do firmy ALAB, ale także próbkę wykradzionych danych – a niej między innymi wyniki ponad 50 tysięcy badań medycznych.
Co już wyciekło
Przestępcy udostępnili linki, umożliwiające pobranie dwóch plików zawierających spakowane dane. Pierwszy to 5GB wyników testów laboratoryjnych, drugi to nieco ponad 1GB umów, zawieranych przez firmę. Z punktu widzenia ofiar dużo ważniejszy jest plik pierwszy, więc skupimy się na jego analizie.
W archiwum znajdują się 3 katalogi, łącznie zawierające nieco ponad 110 000 plików. Każdy z plików to wynik badania klienta firmy. Wyniki w folderach znajdują się w dwóch postaciach – plików PDF z czytelnym dla zwykłego człowieka opisem (jak na przykładzie powyżej) oraz pliku XML, zawierającego te same dane, tylko w formie pliku XML, łatwego do hurtowego przetwarzania komputerowego. Obecność dwóch plików dla każdego badania oznacza, że w ujawnionych danych znajdują się wyniki ponad 55 tysięcy różnych badań, najczęściej dotyczących różnych osób. Można zatem przyjąć, że osób poszkodowanych w tym wycieku jest ponad 50 000. Daty badań umieszczone są w nazwach plików, więc można łatwo ocenić, że wyciek dotyczy okresu 2017 – 2023 (najnowsze badanie pochodzi z 27 września 2023).
Każdy wynik badania zawiera dane osobowe klienta firmy takie jak imię, nazwisko, PESEL oraz adres. Dodatkowo dokumenty zawierają nazwę podmiotu zlecającego badania, daty i godziny zlecenia i wykonania badania, numerację umożliwiającą identyfikację badania w systemach ALAB a także wszystkie wyniki badania.
Zakres badań, których wyniki wyciekły, obejmuje praktycznie wszystkie badania laboratoryjne, jakie da się przeprowadzić – od hematologii, przez biochemię, immunochemię, po posiewy czy cytologię.
Czy wycieknie więcej?
Przestępcy, stojący za tym atakiem, informują, że publikacja „próbki danych” nastąpiła z powodu braku chęci współpracy firmy ALAB – włamywacze nie otrzymali okupu. Jednocześnie grożą, że dnia 31 grudnia opublikują pełny zbiór danych, rzekomo liczący sobie 246GB. Sprawdziliśmy, że w przypadku poprzednich ofiar faktycznie publikowali pliki z danymi wykradzionymi ofiarom.
Co mają robić potencjalne ofiary?
Zapewne biorąc pod uwagę skalę działania firmy ALAB czytają ten tekst osoby, które robiły tam swoje badania. Firma współpracuje z wieloma przychodniami, więc nie musicie nawet kojarzyć jej nazwy – wasze dane mogą być w wycieku. Niestety według serwisu, w którym przestępcy umieścili próbkę danych, plik pobrało już ponad 30 osób. Co zatem robić?
Po pierwsze spodziewamy się, że lada moment ALAB wyda oficjalne oświadczenie i zacznie się kontaktować z osobami, których dane mogły trafić w ręce przestępców. Powinniście otrzymać szczegółowe instrukcje, z których wyczytacie, że należy zachować czujność i nie klikać w podejrzane linki. Niestety to mniej więcej tyle, na co można w tej sytuacji liczyć. Każdy musi samodzielnie ocenić ryzyko związane z ujawnieniem wyników badań – inne będzie dla wycieku pomiaru cukru we krwi, a inne dla wyników badań w kierunku chorób wenerycznych.
Czy zastrzegać PESEL? To pewnie większość osób może zrobić i bez wycieku, ale jeśli czekaliście na sygnał, to to jest ten sygnał. Pełne dane osobowe mogą pomagać przestępcom, choć nie mamy na razie żadnych sygnałów, by dane z tego wycieku były wykorzystywane w złych celach.
Czy wycieknie więcej? Tu paradoksalnie możemy was pocieszyć – ta grupa publikuje swoje wycieki w postaci pojedynczych plików o rozmiarach kilkuset GB poprzez sieć TOR, co oznacza, że nigdy nikomu nie uda się całości pobrać (testowaliśmy ich serwer plików, zrywa połączenie po kilkunastu MB transferu, a jego prędkość gwarantuje, że do końca przyszłego roku nikt 246GB z tego serwera nie pobierze).
Niestety dane ponad 50 tysięcy osób poszły już w świat – i tego wycieku nie sposób zatrzymać. Pozostaje czekać na oficjalne stanowisko firmy. Co dziwne, mimo, że do incydentu doszło co najmniej kilka dni temu (grupy ransomware dają firmom czas do namysłu przed publikacją danych, a pliki z danymi były wgrane przez włamywaczy już 17 listopada), to strona WWW ALAB-u zniknęła kilkanaście godzin temu w okolicach niedzielnego poranka i do tej pory pozostaje niedostępna. Nie wiemy, czy te zdarzenia są ze sobą powiązane.
źródło: