Prokuratura bada wyciek danych z firmy Alab. Hakerzy zażądali okupu
Prokuratura Regionalna w Warszawie wszczęła śledztwo w sprawie hakerów, którzy wykradli dane pacjentów firmy Alab Laboratoria. Sprawdzany jest m.in. wątek żądania okupu. Do sieci trafiły nie tylko wyniki badań, ale także adresy i numery PESEL pacjentów. Niewykluczone są także kontrole w samej firmie.
Sprawą wycieku danych z firmy Alab zajmuje się warszawska Prokuratura Regionalna. Prowadzone śledztwo dotyczy nie tylko kradzieży poufnych danych, ale również żądania okupu. Z nieoficjalnych danych wynika, że hakerzy zażądali od firmy kilkuset tysięcy dolarów.
ZOBACZ: Padłeś ofiarą wycieku hakerskiego z ALAB? Sprawdź w rządowym narzędziu
- Prokuratura Regionalna w Warszawie po analizie pisemnego zawiadomienia Alab Laboratoria Sp. z o.o. oraz materiałów przekazanych przez CBZC w dniu 29 listopada 2023 r. wszczęła śledztwo w sprawie uzyskania bez uprawnienia dostępu do systemu informatycznego i pozyskania zapisanych w nim informacji - przekazała rzeczniczka Prokuratury Regionalnej prok. Aleksandra Skrzyniarz.
Dodała, że do ataku hakerskiego doszło poprzez "zaszyfrowanie za pomocą złośliwego oprogramowania ransomware zawartości serwerów należących do pokrzywdzonej spółki". - Śledztwo swoim zakresem obejmuje również wątek dotyczący żądania okupu przez sprawców działających w ramach organizacji RA WORLD, w zamian za przekazanie kluczy deszyfrujących oraz nieupublicznianie pozyskanych danych - powiedziała Skrzyniarz.
Wyciek danych firmy Alab bada prokuratura
Prowadzone działania mają na celu ustalenie tożsamości sprawców działań. Ponadto wyciekiem danych zajął się również prezes Urzędu Ochrony Danych Osobowych oraz Rzecznik Praw Pacjenta.
Jakub Groszkowski, który jest Zastępca prezesem UODO, powiedział, że obecnie urząd analizuje zgłoszone 21 listopada naruszenie ochrony danych w Alab. - Na obecnym etapie czekamy na dalsze ustalenia administratora danych, aby dysponować wiedzą na temat szczegółów związanych z naruszeniem i rzetelnie wyjaśnić jego przyczyny i skalę - dodał.
Przekazał również, że w związku z głośnym wyciekiem danych, zarówno UODO jak i Rzecznik Praw Pacjenta podejmą współpracę obejmującą wymianę ustalanych informacji, której "celem jest dobro pacjentów i ochrona ich danych osobowych".
- Potencjalne naruszenie praw pacjenta traktujemy niezwykle poważnie, mając na uwadze nie tylko literę prawa, ale i zaufanie pacjentów do podmiotów leczniczych i systemu ochrony zdrowia - przekazał Rzecznik Praw Pacjenta Bartłomiej Chmielowiec.
Wyciek danych pacjentów firmy Alab
Do zdarzenia doszło na początku tygodnia. Do sieci trafiły wyniki badań kilkudziesięciu tysięcy Polaków, którzy w latach 2017-2023 korzystali z usług laboratoriów medycznych firmy Alab. Hakerzy ujawnili m.in. numery PESEL i adresy pacjentów. Szantażyści twierdzą, że opublikowali jedynie próbkę wykradzionych danych i udostępnią wszystkie pliki, jeśli do końca roku nie otrzymają okupu.
Wśród udostępnionych plików jest m.in. archiwum ze 110 tys. dokumentami, zawierającymi wyniki badań klientów firmy. Najnowsze z udostępnionych plików pochodzą z 27 września 2023 r.
Możliwe, że dojdzie również do kontroli w poszkodowanej firmie. Istnieje prawdopodobieństwo, że administrator spółki nie wiedział, iż dane pacjentów są wykradane, a to oznacza, że mogło dojść do zaniedbań w zakresie ochrony danych. Karą za zaniedbanie w tym zakresie może być grzywna wynosząca do 4 proc. rocznego obrotu lub do 20 mln euro.
Niewykluczone jest również, że poszkodowani pacjenci skierują sprawę do sądu, o ile w wyniku ujawnionych danych odnieśli szkody.
Czytaj więcej