Potężny wyciek badań medycznych i danych osobowych

Do internetu trafiły wyniki badań medycznych wykonanych przez ostatnie kilka lat w jednej z największych ogólnopolskich sieci laboratoriów medycznych, firmy ALAB. Wyciek jest skutkiem ataku grupy ransomware, a dane to podobno tylko próbka.

To jeden z tych artykułów, których wolelibyśmy nigdy nie napisać. Niestety skutki tego ataku ransomware odczuje co najmniej kilkadziesiąt tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci ALAB laboratoria. Szerzej nieznana grupa ransomware RA World opublikowała na swoim blogu nie tylko informację o skutecznym włamaniu do firmy ALAB, ale także próbkę wykradzionych danych – a niej między innymi wyniki ponad 50 tysięcy badań medycznych.

Co już wyciekło
Przestępcy udostępnili linki, umożliwiające pobranie dwóch plików zawierających spakowane dane. Pierwszy to 5GB wyników testów laboratoryjnych, drugi to nieco ponad 1GB umów, zawieranych przez firmę. Z punktu widzenia ofiar dużo ważniejszy jest plik pierwszy, więc skupimy się na jego analizie.

W archiwum znajdują się 3 katalogi, łącznie zawierające nieco ponad 110 000 plików. Każdy z plików to wynik badania klienta firmy. Wyniki w folderach znajdują się w dwóch postaciach – plików PDF z czytelnym dla zwykłego człowieka opisem (jak na przykładzie powyżej) oraz pliku XML, zawierającego te same dane, tylko w formie pliku XML, łatwego do hurtowego przetwarzania komputerowego. Obecność dwóch plików dla każdego badania oznacza, że w ujawnionych danych znajdują się wyniki ponad 55 tysięcy różnych badań, najczęściej dotyczących różnych osób. Daty badań umieszczone są w nazwach plików, więc można łatwo ocenić, że wyciek dotyczy okresu 2017 – 2023 (najnowsze badanie pochodzi z 27 września 2023).

Każdy wynik badania zawiera dane osobowe klienta firmy takie jak imię, nazwisko, PESEL oraz adres. Dodatkowo dokumenty zawierają nazwę podmiotu zlecającego badania, daty i godziny zlecenia i wykonania badania, numerację umożliwiającą identyfikację badania w systemach ALAB a także wszystkie wyniki badania.

Zakres badań, których wyniki wyciekły, obejmuje praktycznie wszystkie badania laboratoryjne, jakie da się przeprowadzić – od hematologii, przez biochemię, immunochemię, po posiewy czy cytologię.

Czy wycieknie więcej
Przestępcy, stojący za tym atakiem, informują, że publikacja „próbki danych” nastąpiła z powodu braku chęci współpracy firmy ALAB – włamywacze nie otrzymali okupu. Jednocześnie grożą, że dnia 31 grudnia opublikują pełny zbiór danych, rzekomo liczący sobie 246GB. Sprawdziliśmy, że w przypadku poprzednich ofiar faktycznie publikowali pliki z danymi wykradzionymi ofiarom.

Co mają robić potencjalne ofiary?
Zapewne biorąc pod uwagę skalę działania firmy ALAB czytają ten tekst osoby, które robiły tam swoje badania. Firma współpracuje z wieloma przychodniami, więc nie musicie nawet kojarzyć jej nazwy – wasze dane mogą być w wycieku. Niestety według serwisu, w którym przestępcy umieścili próbkę danych, plik pobrało już ponad 30 osób. Co zatem robić?

Po pierwsze spodziewamy się, że lada moment ALAB wyda oficjalne oświadczenie i zacznie się kontaktować z osobami, których dane mogły trafić w ręce przestępców. Powinniście otrzymać szczegółowe instrukcje, z których wyczytacie, że należy zachować czujność i nie klikać w podejrzane linki. Niestety to mniej więcej tyle, na co można w tej sytuacji liczyć. Każdy musi samodzielnie ocenić ryzyko związane z ujawnieniem wyników badań – inne będzie dla wycieku pomiaru cukru we krwi, a inne dla wyników badań w kierunku chorób wenerycznych.

Czy zastrzegać PESEL? To pewnie większość osób może zrobić i bez wycieku, ale jeśli czekaliście na sygnał, to to jest ten sygnał. Pełne dane osobowe mogą pomagać przestępcom, choć nie mamy na razie żadnych sygnałów, by dane z tego wycieku były wykorzystywane w złych celach.

Czy wycieknie więcej? Tu paradoksalnie możemy was pocieszyć – ta grupa publikuje swoje wycieki w postaci pojedynczych plików o rozmiarach kilkuset GB poprzez sieć TOR, co oznacza, że nigdy nikomu nie uda się całości pobrać (testowaliśmy ich serwer plików, zrywa połączenie po kilkunastu MB transferu, a jego prędkość gwarantuje, że do końca przyszłego roku nikt 246GB z tego serwera nie pobierze).

Niestety dane tysięcy osób poszły już w świat – i tego wycieku nie sposób zatrzymać. Pozostaje czekać na oficjalne stanowisko firmy. Co dziwne, mimo, że do incydentu doszło co najmniej kilka dni temu (grupy ransomware dają firmom czas do namysłu przed publikacją danych, a pliki z danymi były wgrane przez włamywaczy już 17 listopada), to strona WWW ALAB-u zniknęła kilkanaście godzin temu w okolicach niedzielnego poranka i do tej pory pozostaje niedostępna. Nie wiemy, czy te zdarzenia są ze sobą powiązane.

Aktualizacja 2023-11-27

• Jak donoszą czytelnicy, ALAB miał już wcześniej incydent ransomware – tak wynika z komunikatu z roku 2018. Po tamtym incydencie wdrożono rozliczne dodatkowe procedury bezpieczeństwa.
• Cytowany przez niektóre media komunikat ALAB o tym, że wycieku nie było, pochodzi z roku 2020 i nie dotyczy tego incydentu. Gratulujemy dziennikarzom, którzy nawet tego nie zweryfikowali.
• Ustaliliśmy także, że grupa ransomware RA World pierwszy raz wspomniała o tym ataku na swojej stronie WWW 19 listopada tego roku.
• Grupa, która zaatakowała ALAB, pierwszy raz została zidentyfikowana w kwietniu tego roku. Pod tym linkiem znajdziecie analizę ich działania.
• Według analizy, którą otrzymaliśmy od anonimowego informatora, w ujawnionych danych znajdują się wyniki 55089 badań, ale dotyczą one tylko (lub aż) 12076 unikatowych PESEL-i. Można zatem przyjąć, że próbka danych opublikowana przez włamywaczy zawiera dane nieco ponad 12 tysięcy osób. W związku z tym zaktualizowaliśmy artykuł, usuwając informację o prawdopodobnym zakresie incydentu sięgającym ponad 50 tysięcy osób.