Wyciek wrażliwych danych, w tym numerów PESEL i wyników badań, z serwerów firmy ALAB mógł być większy niż początkowy przypuszczano. Jak informuje serwis CyberDefence 24, pula poszkodowanych może być czterokrotnie wyższa i w najgorszym scenariuszu dotyczyć blisko 200 tys. osób.
/123RF/PICSEL
Pod koniec listopada br. miał miejsce wyciek danych z serwerów firmy ALAB, zarządzającej laboratoriami medycznymi. Na skutek ataku hakerów z systemów spółki wykradziono dane pacjentów, których badania zlecone przez lekarzy trafiły do analizy specjalistów. Początkowe doniesienia medialne sugerowały, że cyberprzestępcy uzyskali dostęp do numerów PESEL oraz informacji o stanie zdrowia blisko 50 tys. osób. Pula poszkodowanych może być jednak większa.
Reklama
„Najgorszy scenariusz” ataku na serwery Alab. Hakerzy w posiadaniu 200 tys. numerów PESEL
Jak podaje portal cyberdefence24.pl, który był obecny na konferencji prasowej firmy ALAB, poświęconej wspomnianemu wyciekowi danych, przedstawiciele spółki nie wykluczają, że w najgorszym scenariuszu liczba poszkodowanych może sięgnąć nawet 200 tys. pacjentów.
– Przestępcy mieli dostęp do jednego z kilkudziesięciu serwerów, które zawierały dane medyczne. Zgodnie z zasadą Worst-case Scenario, musimy zakładać, że mieli oni dostęp do wszystkich danych, które się na tym serwerze znalazły – powiedział Seweryn Dmowski, doradca zarządu ALAB Laboratoria ds. komunikacji, cytowany przez CyberDefence24.pl. Dodał, że „w najgorszym scenariuszu upublicznieniem danych osobowych i wyników badań laboratoryjnych zagrożonych jest nawet 200 tysięcy pacjentów„.
Jednocześnie przedstawiciel firmy wskazał, jak doszło do ataku hakerskiego. Pierwsze nieścisłości w wewnętrznym systemie firmy odnotowano w nocy z 18 na 19 listopada, choć do pierwszego przecieku danych w darknecie doszło już 17 listopada. Reakcja pracowników działu IT w ALAB nastąpiła po półtorej godziny od zaobserwowania pierwszych oznak ataku.
– Zauważono podejrzaną aktywność na serwerach ALAB i rozpoczęto działania mające na celu przywrócenie pełnej stabilności systemu informatycznego – wskazał Dmowski, dodając, że atak hakerski nie spowodował zatrzymania działań firmy.
Cyberprzestępcy zażądali od ALAB-u okupu, jednak firma wykluczyła takie rozwiązanie. Jednocześnie przedstawiciele spółki podkreślili, że z gróźb hakerów wynika, iż wszystkie wykradzione dane zostaną upublicznione do 31 grudnia 2023 roku.
Sama spółka poinformowała o fakcie odpowiednie służby, w tym Centralne Biuro Zwalczania Cyberprzestępczości oraz Urząd Ochrony Danych Osobowych. Druga z instytucji ma rozpocząć kontrolę w siedzibie firmy już od poniedziałku 11 grudnia. Według medialnych doniesień, jeżeli UODO stwierdzi, że zabezpieczenia ALAB nie były odpowiednio skonstruowane, przedsiębiorstwo może otrzymać karę w wysokości do 4 proc. rocznego przychodu lub do maksymalnie 20 mln euro.
Odtwarzacz wideo wymaga uruchomienia obsługi JavaScript w przeglądarce. INTERIA.PL