Pojawiają się informacje o nowym wycieku danych z laboratorium ALAB, jednej z największych sieci laboratoriów medycznych. Jak sprawdzić, czy nasze wyniki badań zostały ujawnione przez hakerów? Rząd dał narzędzie, my pokazujemy, jak z niego skorzystać. I pytamy: czy przypadkiem nie ułatwi ono życia… oszustom?
Pod koniec listopada media przekazały informację o tym, że dane tysięcy klientów sieci laboratoriów ALAB wyciekły z powodu ataku hakerskiego. Grupa hakerska znana jako RA GROUP przełamała zabezpieczenia systemów informatycznych firmy i uzyskała dostęp do wrażliwych danych osobowych klientów. Do skradzionych informacji należą imiona, nazwiska, numery PESEL, daty urodzenia, adresy, a także wyniki badań laboratoryjnych.
W celu potwierdzenia swoich działań hakerzy opublikowali fragment wrażliwych danych na swojej stronie internetowej, ujawniając tym samym wyniki ponad 50 tysięcy badań laboratoryjnych klientów firmy. Oprócz tego RA GROUP zagroziło, że jeśli ALAB nie spełni ich wszystkich wymogów i nie zapłaci okupu, to 31 grudnia opublikują oni dane i wyniki pozostałych klientów firmy, które obecnie posiadają.
Pisaliśmy o tym w artykule z listopada: ALAB. Konsekwencje wycieku wrażliwych danych.
Pod koniec tego tygodnia portal niebezpiecznik.pl poinformował o kolejnym wycieku, tym razem miałoby to być nawet 100 GB danych. Pierwotnie przestępcy zapowiadali, że ujawnią dane 31 grudnia, ale prawdopodobnie zdecydowali się zrobić to jeszcze przed Świętami.
Jak możemy sprawdzić, czy nasze dane wyciekły w wyniku tej lub innych afer. Przyjrzyjmy się całemu procesowi i upewnijmy się, że jest wiarygodny i warty zaufania.
(Bezpieczne) dane wyciekły z ALAB. Co robić?
Przez pierwsze godziny po tym, jak portal Zaufana Trzecia Strona ujawnił, że z powodu ataku hakerskiego dane wyciekły z ALAB, wśród setek tysięcy pacjentów zapanowała niepewność. Wyglądało na to, że jeśli ktoś chciałby sprawdzić, czy informacje o nim znalazły się w sieci, musiałby zapuścić się na ciemną stronę internetu, pobrać gigabajty skradzionych plików i ręcznie sprawdzać, czy jego nazwisko nie znajduje się na którymś z dokumentów.
Na szczęście rząd udostępnił narzędzie, które pozwala sprawdzić, czy nasze dane wyciekły z ALAB. Chodzi o stronę bezpiecznedane.gov.pl Jak przebiega cały proces weryfikacji i czy w ogóle ma to jakikolwiek sens? Przetestowałem to.
Twórcy witryny zapewniają, że platforma działa w sposób szybki, intuicyjny i prosty: „Udostępniliśmy stronę, która pozwoli łatwo i szybko sprawdzić, czy wyciek obejmuje również nasze dane. Namawiam wszystkich, żeby zalogowali się na www.bezpiecznedane.gov.pl i upewnili się, że ta sytuacja ich nie dotyczy” – zachęca minister cyfryzacji. A czy tak jest naprawdę?
Czytaj też: Ukraińska armia IT wspiera żołnierzy i czołgi, jednak może być zagrożeniem dla cyberbezpieczeństwa
Jak sprawdzić bezpieczeństwo naszych danych?
Jeśli chcemy uzyskać dostęp do rządowej platformy, która umożliwi nam sprawdzenie, czy nasze dane wyciekły z ALAB – musimy się najpierw zalogować. Możliwości jest wiele, możemy skorzystać z profilu zaufanego, aplikacji mObywatel, bankowości elektronicznej lub eID – ja posłużyłem się aplikacją mObywatel. Po udanej próbie zalogowania się w serwisie otrzymujemy następujący komunikat:
Co dalej? Oczywiście zgodnie z prośbą wpisujemy swój adres e-mail. Po wszystkim platforma informuje nas o tym, czy nasze dane wyciekły. Jednocześnie widzimy komunikat, który ostrzega, że baza „obecnie zawiera informacje do wycieku, który został upubliczniony pod koniec maja 2023 r.”
Najprawdopodobniej jest to pomyłka – chodzi przecież o incydent z końca listopada 2023 r. Być może ktoś nie zaktualizował komunikatu, szło wszak o możliwie szybką reakcję… Oby tak było, bo alternatywa brzmi wyjątkowo nieciekawie.
Trzeba także liczyć na to, że w razie, gdyby hakerzy decydowali się na ujawnianie kolejnych porcji wykradzionych danych (bo to, co trafiło do sieci to jedynie część, która miała uwiarygodnić prowadzony szantaż), rządowe służby będą na bieżąco aktualizowały bazę.
Kluczowe dla tego narzędzia jest szybkie działanie. Nawet jeśli sposób sprawdzania poufności naszych danych jest wiarygodny, to nie ma żadnego pożytku z platformy, która nie reaguje dynamicznie na rozwój sytuacji i bieżące wycieki.
Niezwykle istotne jest to, by użyć tego narzędzia do sprawdzenia wszystkich adresów e-mail, z których korzystamy. Wiele osób może zastanawiać się też, jak weryfikowany jest numer PESEL, skoro platforma prosi nas jedynie o podanie maila. Odpowiedź jest niezwykle prosta – w trakcie logowania przez każdą z dostępnych form, narzędzie uzyskuje dostęp do naszych wrażliwych danych i może sprawdzić, czy nie pojawiły się one w niepowołanym miejscu.
Czytaj też: Jak sprawdzić swój cyfrowy odcisk palca? Nie bądź unikatowy!
Plusy dodatnie i plusy ujemne
W trakcie sprawdzania bezpieczeństwa swoich danych natknąłem się na coś interesującego. Wspomniałem, że za pomocą narzędzia bezpiecznedane.gov.pl da się sprawdzić wiele adresów e-mail. To zaś oznacza, że można wpisać… dowolny adres. Nawet taki, który nie należy do nas.
Konsekwencje? Niestety to, że narzędzie prawdopodobnie umożliwi osobom z niekoniecznie czystymi intencjami identyfikowanie potencjalnych ofiar.
Oczywiście za pomocą rządowego portalu cyberprzestępca (albo chorobliwie ciekawski sąsiad czy kolega z pracy) nie zdobędzie jeszcze informacji wrażliwych, jednak wie, że „warto” przeszukiwać dane wykradzione przez hakerów. Jeśli szuka haka na konkretne osoby, może łatwo sprawdzić, czy w ten sposób dotrze do czegoś nowego.
Wykradzenie numeru PESEL jest z pewnością niebezpieczne. Cyberprzestępca może wykorzystać go np. do wzięcia kredytu na konto osoby, której dane zdobył. Jednak informacja o stanie zdrowia – albo nawet o samym fakcie robienia testów – może być nawet bardziej brzemienna w konsekwencje.
Informacja, że mężczyzna zlecił test na choroby przenoszone drogą płciową po powrocie z delegacji, może nieźle namieszać w jego życiu rodzinnym. Informacja o zleceniu badania krwi tej czy innej osoby publicznej przez areszt śledczy może posłużyć do szantażu.
Wielkim zagrożeniem dla osób starszych są wyłudzenia „metodą na wnuczka”. Równie niebezpieczne może być, jeśli wyłudzacze będą w stanie wykorzystywać informacje o badaniach czy schorzeniach swoich ofiar. Telefon „z przychodni” o konieczności opłacenia badań lub leków, czy oszuści podszywający się pod lekarza z „wizytą domową”. Znajomość szczegółów, które zawierają dane wyciekłe z ALAB, uwiarygodni te szwindle.
Ktoś powie, że to obawy na wyrost. Przecież, żeby sprawdzić e-mail, trzeba się zalogować się na platformę poprzez któryś tych najsolidniejszych sposobów weryfikacji tożsamości. A system ten pewnie zapisuje w logach informacje dotyczące tego, kto sprawdzał czyj adres. To zaś powinno odstraszać przestępców. Wszak w przypadku dokonania oszustwa, śledczy mogą zajrzeć, kto się interesował danymi ofiary.
To jednak nie jest rozwiązanie idealne. Po pierwsze, skoro obywatel ma możliwość wpisania cudzego adresu e-mail w rządowy system, to niezbyt budujące, że skorzystanie z opcji, którą zostawił projektant, może uczynić z niego podejrzanego. A po drugie – jeśli ktoś rzeczywiście chciałby zrobić to bez zwracania na siebie uwagi, znajdzie jakiegoś „słupa”, na którego konto pójdzie lawina wyszukiwań.
Testujemy zastrzeganie numeru PESEL. Zobacz jak to zrobić: Nie planujesz nowych zobowiązań, a chcesz poczuć się bezpieczniej?
Checklista, gdy nasze dane wyciekły z ALAB
Co zrobić, gdy system bezpiecznedane.gov.pl pokaże, że informacje o nas znajdują się w ujawnionej części dokumentów? Zachęcam do rozważenia następujących działań.
- Załóż konta w BIK. Utworzenie profilu w systemie informacji kredytowej (takim jak BIK), pozwala na śledzenie swojego profilu kredytowego. Dzięki przepisom RODO każdy ma prawo do bezpłatnego uzyskania kopii zebranych na jego temat danych z BIK. Upewnijmy się, że nikt nie zaciągnął kredytu na nasze dane. Za dodatkową opłatą można włączyć alerty. Dzięki temu dostaniemy powiadomienie, gdy ktoś będzie próbował za pomocą naszych danych zaciągnąć kredyt.
- Zgłoś przestępstwo. Niezwykle ważne jest, by jak najszybciej poinformować odpowiednie organy o wycieku wrażliwych danych. Wówczas służby mogą zapobiec tzw. „kradzieży tożsamości”
- Zastrzeż PESEL. Można zastrzec swój numer PESEL, korzystając z serwisu mobywatel.gov.pl. Po zalogowaniu się i przejściu do sekcji „Twoje dane” można skorzystać z Rejestru Zastrzeżeń PESEL, aby zastrzec swój numer lub cofnąć wcześniejsze zastrzeżenie. Na razie niestety banki nie biorą tego pod uwagę.
- Poinformuj bank. Jeśli podejrzewamy, że ktoś mógł wejść w posiadanie naszych danych, takich jak PESEL, ale też np. dane karty kredytowej, należy jak najszybciej poinformować bank.
- Sprawdź swoje urządzenia. Każde podejrzenie wycieku danych (do logowania) powinno skutkować sprawdzeniem, czy nasz komputer, tablet i telefon nie zostały zainfekowane złośliwym oprogramowaniem. Należy zaktualizować oprogramowanie antywirusowe i dokładnie przeskanować wszystkie urządzenia, z których korzystamy.
Koniecznie przeczytaj: Zadbaj o swoje bezpieczeństwo w sieci – poradnik z okazji Europejskiego Miesiąca Cyberbezpieczeństwa
Dbajmy o swoje bezpieczeństwo w sieci
Bezpieczeństwo danych w cyfrowym świecie jest nie tylko technicznym wyzwaniem, ale również niezbędnym elementem naszej codzienności. W obliczu rosnących zagrożeń cybernetycznych, zarówno jednostki, jak i organizacje muszą być czujne i proaktywne w ochronie swoich danych. Edukacja na temat najlepszych praktyk bezpieczeństwa, regularne aktualizacje systemów zabezpieczeń oraz świadomość potencjalnych zagrożeń są kluczowe dla utrzymania prywatności i bezpieczeństwa informacji.
Pamiętajmy, że ochrona naszych danych to proces ciągły, wymagający stałej uwagi i dostosowania do zmieniających się warunków. W erze zaawansowanych technologii – zaawansowani są także cyberprzestępcy. Zachowanie poufności bezpieczeństwa i poufności wrażliwych informacji jest nie tylko naszym przywilejem, ale i obowiązkiem. Wspólnymi siłami możemy pracować na rzecz bezpieczniejszej cyberprzestrzeni.
Źródło zdjęcia tytułowego: Benzoix, Freepik