Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wyciek wrażliwych danych medycznych oraz osobowych z ALAB Laboratoria. Można sprawdzić czy Twoje dane wyciekły.
O wycieku napisała kompleksowo Zaufana Trzecia Strona, sama dotknięta firma przygotowała stosowne oświadczenie. Ne tę chwilę nie mamy więcej do dodania, a w skrócie:
- ALAB Laboratoria zostały zaatakowane przez ransomware, w wyniku czego doszło do wycieku danych
- Atakujący opublikowali na razie tylko część danych
- W pierwszym wycieku znajdują się dane około 12 tysięcy osób. Zakres danych zawiera między innymi: imię, nazwisko, nr PESEL, adres, wyniki badań. Poniżej przykładowe dane dotyczące wyników badań (źródło oraz anonimizacja: Zaufana Trzecia Strona) – na zrzucie poniżej:
- CERT Polska zasilił serwis https://bezpiecznedane.gov.pl/ – informacjami z obecnego wycieku. Można więc tam sprawdzić czy Wasze dane wyciekły. Prawdopodobnie atakujący niebawem upublicznią większa próbkę danych (finalnie zapewne cały wyciek) – więc powyższa baza będzie najpewniej aktualizowana.
Interface na razie nie jest super oczywisty. Aby sprawdzić czy Twoje dane znalazły się w ostatnim wycieku z ALAB Laboratoria – wystarczy:
a) zalogować się w serwisie: https://bezpiecznedane.gov.pl/
b) kliknąć przycisk „Sprawdź wyciek z ALAB” (PESEL doda się do wyszukiwania automatycznie).
~ms
i co dalej, jesli moje dane wyciekly ? pozew ? dla mnie to powazna strata, ale w sumie nic mi nie ukradziona, jak sądy zareagowały na taki pozew ? oddaliłyby ?
W Polsce pewnie sędzia by nie wiedział, o co Ci chodzi :-(
Wydaje się, że jedynie pozew zbiorowy ma sens, ale w tym celu ktoś musiałby zrobić akcję promującą go i zainwestować w zebranie ludzi i kampanię medialną, a potem wygrać od alab kilka(naście) milionów, co najpewniej zakończyłoby działalność tej firmy :-/
Póki nie masz strat innych niż urażona godność bo ktoś z analizy wyników dowiedział się, że masz np. anemię, to słabo to widzę. Właściwie chyba tylko wyniki badań WR/HIV/HCV mogą być społecznie odbierane jako szczególnie wrażliwe.
Wychodze z zalozenia, ze do momentu jak kary nie beda tak dotkliwe, ze jeden lub drugi taki ALAB wyleci z rynku, a wlasciciele poniosa odpowiedzialnosc finansowoa, do tego momentu bezpieczenstwem systemow beda sie przejmowac tylko ludzie na konferencjach. Dla manadzerow zawsze to bedzie zbedny wydatek.
Co chwile sie slyszy o takich wyciekach i niech mi nikt bajek nie odpowieda, ze tego sie nie da powstrzymac. Da sie, ale to kosztuje :) … jakos ALAB nie swiadczyl uslug wolontariackich.
Jeszcze ci nic nie ukradziono, jeszcze.
Jest wyciek, a co zostanie ukradzione to już tajemnica ochotników, którzy skorzystają.
Odszkodowanie jest za szkodę majatkową a zadośćuczynienie za niemajatkową. To, ze wyciekło nie oznacza autinatycznie ze jakakolwiek szkoda była u osoby ktorej dane wyciekły (np odpowiednio lewy kredyt lub pogorszenie stanu zdrowia)
Jak ktoś weźmie kredyt na te dane i udowodnisz ze dzięki konkretnie temu wyciekowi to wtedy jest miejsce na sąd.
Teraz będzie działał UODO i być może będzie kara „za wyciek”. Pamiętać jednak trzeba ze nie ma kar za to że wyciekło ale za zaniedbania które do nich doprowadziły.
Sankcji podlega utrata poufności, dostępności lub integralności danych. Zaniedbania ADO w kwestiach bezpieczeństwa w tym momencie to kwestia trochę drugoplanowa. Mleko się rozlało.
No wlasnie ALAB powinien nie tylko zaplacic kare publicznie, ale jednoczesnie zabezpieczyc dane ludzi w BIK’u itd. Powinno sie w takim domniemac, ze jesli ktos na kogolwiek z grupy klientow ALAB zaciagnie kredyt, o ktorym dowiedza sie po fakcie, to taki kredyt z automatu jest niewazny. Zrzucanie odpowiedzialnosci na ludzi, bo sie skąpilo na security, kiedy same te ich badania do najtanszych nienaleza to przesada.
Zastrzeż pesel!
Jest już jedna zasądzona kara za zadość uczynienie dla Pani za naruszenie danych osobowych, Sąd zasądził 1000 zł polskich nowych…
1?
Strona https://bezpiecznedane.gov.pl/ aktualnie nie działa za dobrze. Albo się bardzo wolno ładuje, albo po zalogowaniu wywala błąd „our services arent available right now”.
Widać, że strona na takie obleganie nie jest gotowa. :)
Teraz w ogole nie dziala
To już chyba czas aby prewencyjnie, każdy „Kowalski” powinien zastrzec swoje dane gdzie się tylko da.
Ta cytowana wszędzie strona bezpiecznedane.gov.pl (wydmuszka bez żadnej funkcjonalności) zwyczajnie nie działa – sprawdźcie linki, zanim polecicie nieistniejace rozwiązanie
Chyba zDDoSowaliscie im strone, bo nie dziala :P
https://bezpiecznedane.gov.pl wisi i kwiczy :P Nic się nie da sprawdzić :P
Na razie gov nie wyrabia z ddos na ich sprawdzarki.
Strona nie działa ;(
Czy to tylko u mnie ten serwis https://bezpiecznedane.gov.pl/ odpowiada jakby był pod sporym obciążeniem i nie ma zasobów?
Prawie działa:
BEZPIECZNEDANE
We are sorry…
Unexpected error when handling authentication request to identity provider.
« Back to Application
Jak najbardziej, chociażby przez pozew zbiorowy. Prywatne laboratoria to biznes bardziej niż podmiot leczniczy. Najpierw liczy sie kasa i rentowność firmy, także dane mogły wyciec przez oszczędzanie na zabezpieczeniach i IT, a więc tylko i wyłącznie wina firmy ALAB.
Koniecznie pozew tak aby bezpieczeństwo wykonywanych badań było w przyszłości zapewnione na najwyższym standardzie.
Jak myślisz, ile trzeba wydać pieniędzy żeby dane nigdy nie wyciekły? Ale tak NIGDY-NIGDY. Hm? No właśnie. – Nie wiesz.
Może powinni pozyskać WSZYSTKICH specjalistów z Gugle i Microsoftu? Hmm… ale oni też miewali włamania i dziury. Ops.
Dziś zakładasz kłódkę, a jutro wymyślają na nią wytrych.
Jak nie ma rażącego niedbalstwa ani chowania głowy w piasek, to nie widzę sensu bankrutowania wszystkich pozytywnych biznesów, którym noga się powinęła w bezpieczeństwie.
Nieee… ich nakłady na IT były żadne, zgodnie z filozofia „ma działać, nieważne jak, radźcie sobie” :>
I teraz każdy w bazie zostanie sprawdzony przez ubezpieczycieli, i nie ma opcji aby zweryfikować czy dana firma skorzystała z wycieku. ALAB powinien dostać po zadzie, aż echo po Europie pójdzie.
) zalogować się w serwisie: https://bezpiecznedane.gov.pl/
b) kliknąć przycisk „Sprawdź wyciek z ALAB” (PESEL doda się do wyszukiwania automatycznie).
Po zalogowaniu się na link nie ma takiego przycisku o sprawdzaniu wycieku z ALAB
No dobrze, a jak w tych labach robiłam badanie swojemu 3latkowi, to jak moge sprawdzic, czy jego dane wyciekly? on nie ma profilu zaufanego…
Podana strona nie ładuje się
jak sprawdzić czy pesel dziecka (lub innej osoby nie mającej profilu zaufanego) nie zostaly opublikowane?
Nie no spoko.
Tylko mam jedno pytanie: mieszkam od ponad 17lat poza granicami Polski, nie mam ani dowodu, ani mObywatela, konta w polskim banku tez nie, e-dowodu tym bardziej a e-Id nie dziala (albo mojego kraju nie ma na liscie, albo wyswietla takie cudo:
„We are sorry. The service is not available to you
Use your National eID to access online services
The service is available only to users who use Polish electronic identification tools.
If you need help, contact us: pegasus@coi.gov.pl”
I owszem, ALAB wykonywal prywatnie usluge kilkunastu testow dla mojej rodziny (o takim samym statusie jak ja).
Wiecie czym sie rozni gov.peel of have I been pwned? to drugie dziala i nie wymaga umozliwienia sledzenia czo i kto sprawdza.
CERT Polska… no tak.
Bueheh, udał Ci się dowcip z tym Pegasusem.
A co w przypadku, jak nie ma się tam konta, ale robiło badania?Wówczas do pobrania wyników używamy tylko numeru PESEL i numeru kodu kreskowego który był wydany podczas badania. Jak w takim razie sprawdzić, czy moje dane/wyniki również wyciekły, jeśli strona wymaga loginu lub e-maila do sprawdzenia cyz wyciek nas dotyczy? (Czy mogę z góry założyć, że moje wyniki nie wyciekły 🥲)?
Jakoś nie wierzę w ten 'wyciek’. Prędzej kolejny spisek, albo w ramach obecnych. Dane tak wrażliwe i ransomware wszystko rozwala. Żebym nie uwierzył. Ta firma wykonuje badania dla publicznej służby zdrowia. Więc maja dane dużej populacji osób. PESEL to jedno, a medyczne dane drugie, DNA itd. Wiemy, że są bronie etniczne (np. Witold Hake, Witold Hake: Można zmieniać ludziom psychikę poprzez fale elektromagnetyczne (2) ). Albo pod plandemię. A może pod hakowanie (np. wia.net.pl, Transhumanizm i eliminacja wolnej woli -Noah Harari ). Może był/jest tam w organizacji kret-judasz (też może mieć '100 rąk’), albo nie można było nijak legalnie migracji danych zrobić na serwery w x lokalizacji, to tak wymyślili. Włam lud kupi. Kto za to odpowiada – kto tę całą cyfryzację na siłę wymyślił. Teraz przerzucanie odpowiedzialności na ludzi, że jak PESEL nie zastrzeżesz, to twoja wina w razie czego. No bzdury do kwadratu. Ludzie mają udowadniać, że nie są wielbłądami.
Reasumując, zagrożenie dla majątków i zdrowia ludzi w Polsce, czyli bezpieczeństwa Polski.
I co z tego, jak na stronie jasno widnieje, że dane są z 27 listopada gdzie aktualizacja danych, jak mam sprawdzić, czy moje dane nie wypłyneły w dniach pomiędzy 28 a 30 listopada żenada