Menu

Analiza wycieku danych osobowych z ALAB Laboratoria

Niniej­szy arty­kuł jest publi­kowa­ny na proś­bę auto­rki, któ­ra pod­pisa­ła się pseudo­nimem «Val­kyria». Auto­rka arty­kułu nie chce publi­kować tej ana­lizy pod swoim imie­niem i nazwi­skiem z uwa­gi na fakt, że pra­coda­wcy nega­tywnie oce­nia­ją oso­by, któ­re zwra­cają uwa­gę na kwe­stie RODO oraz na bez­pie­czeń­stwo syste­mów infor­matycz­nych. Z powo­du takie­go, a nie inne­go podej­ścia pra­coda­wców, do tej pory żąda­ją oni nadmier­nych danych oso­bowych, któ­re póź­niej wyko­rzy­stu­ją do węsze­nia w życiu pry­wat­nym pra­cowni­ków.

Stan taki pro­wadzi do przyj­mowa­nia do pra­cy osób nie­kom­petent­nych i nie­wykwa­lifi­kowa­nych, bo prze­cież te nie będą zada­wały zbę­dnych pytań. System bez nie­zbę­dnych zabez­pie­czeń kry­pto­gra­ficz­nych powsta­nie też szyb­ciej niż taki, gdzie na eta­pie jego pro­jekto­wania zasto­sowa­no odpo­wie­dnie zabez­pie­cze­nia. Tego się póź­niej nie da nadro­bić, ponie­waż całość trze­ba by pro­jekto­wać od nowa – czę­sto również z prze­budo­wą front­‑endu. Na to zazwy­czaj póź­niej nie będzie już cza­su.

Wyciek danych z 19 listo­pada 2023 roku

W dniu 19 listo­pada 2023 roku, a wła­ści­wie tro­chę wcze­śniej, doszło do wycie­ku danych medycz­nych pra­wdo­podob­nie wszys­tkich Pola­ków, któ­rzy w latach 2017–2023 robi­li bada­nia labo­rato­ryj­ne, cyto­logicz­ne i inne w war­szaw­skiej fir­mie ALAB Labo­rato­ria. Wyciek ten objął mini­mum 246 giga­baj­tów danych. Z nie­któ­rych źró­deł można się dowiedzieć, że pra­wdo­podob­nie doszło do wykra­dnię­cia danych też z innych podle­głych pla­cówek. Tych doda­tko­wych danych prze­stę­pcy jednak nie opu­bli­kowa­li. Pobra­nie czę­ści danych było możli­we na dar­kne­towej stro­nie http://pa32ymaeu62yo5th5mraikgw5fcvznnsiiwti42carjliarodltmqcqd.onion/post/9836.html. Tam będzie też możli­we pobra­nie całej bazy danych ALAB Labo­rato­ria, gdy spó­łka nie opła­ci oku­pu. Oczy­wiście, jeże­li pra­wdą jest to co pisze «RA World» na swo­jej stro­nie. «RA World» opu­bli­kował już wyni­ki oko­ło 55 tys. badań, któ­re nale­żały do 12 tysię­cy różnych osób (różnych nume­rów PESEL).

W danych tych można zna­leźć imię, nazwi­sko, PESEL, adres zamie­szka­nia pacjen­ta oraz dane leka­rza zle­cają­cego. W wyni­kach można zna­leźć dane medycz­ne takie jak wyni­ki badań labo­rato­ryj­nych. Są to dane medycz­ne szcze­gól­nie chro­nio­ne. Część z nich może być kry­tycz­na dla pacjen­ta, bowiem wyni­ki takich badań jak bada­nie na obe­cność prze­ciw­ciał wiru­sa HIV, czy też wyso­ki poziom cho­leste­rolu mogą spra­wić, że ta oso­ba będzie dys­kry­mino­wana przy udzie­laniu pożycz­ki, jak też na ryn­ku pra­cy.

Co zawio­dło w ALAB Labo­rato­ria?

W ALAB Labo­rato­ria zawio­dło wszys­tko, co tyl­ko mogło zawieść. 246 giga­baj­tów danych to jest bardzo dużo danych. Ich pobie­ranie musia­ło zatem spo­wodo­wać duże nie­natu­ral­ne obcią­żenie na serwe­rach. Gdy­by istniał zespół do moni­toro­wanie nie­natu­ral­nego ruchu na serwe­rze w zakre­sie pobie­rania danych medycz­nych, zda­rze­nie było­by wykry­te i skoń­czy­łoby się jedy­nie na wycie­ku małej por­cji danych.

Sko­ro pobra­no wszys­tkie dane medycz­ne z 6 ostat­nich lat, dane te nie były szy­forwa­ne indy­widu­alny­mi klu­cza­mi algo­ryt­mów asy­metrycz­nych. Ozna­cza to, że dane te naj­pra­wdo­podob­niej nie były w ogó­le szy­fro­wane. Wska­zuje na to fakt, że pod­czas odbio­ru wyni­ków wyma­gany jest tyl­ko numer bada­nia i PESEL lub data urodze­nia klien­ta.

ALAB nie ogra­nicza danych medycz­nych dostę­pnych onli­ne do ostat­nie­go tygo­dnia lub ostat­nie­go mie­sią­ca, tak aby w razie wycie­ku danych był to mały zbiór danych. Dane z 2017 roku wciąż były dostę­pne do pobra­nia.

Co można było zro­bić, aby tego wycie­ku nie było?

Wystar­czy­ło zacho­wać odpo­wie­dnie środ­ki bez­pie­czeń­stwa. Choć jeden z wymie­nio­nych poni­żej.

  1. Nie udo­stę­pniać i nie zbie­rać adre­su zamie­szka­nia w ogó­le. Nie zapi­sywać imie­nia, nazwi­ska i PESEL‑u pacjen­ta. Zamiast tych danych zapi­sać onli­ne jedy­nie hash tych danych.
  2. Zasto­sować PKI – infra­stru­ktu­rę klu­cza pry­wat­nego. Każde bada­nie szy­fro­wane indy­widu­alnym klu­czem.

W roz­wią­zaniu pier­wszym sól sto­sowa­na pod­czas two­rze­nia skró­tu (has­hu) tych wia­domo­ści powin­na zawie­rać hasło wyma­gane do ode­bra­nia bada­nia. PDF powi­nien być gene­rowa­ny po stro­nie front­‑endu (JavaSc­ript prze­glą­dar­ki) po wpi­saniu przez pacjen­ta swo­jego PESEL‑u, imie­nia, nazwi­ska, nume­ru bada­nia i hasła zabez­pie­cza­jące­go. System spra­wdził­by czy skró­ty tych danych są iden­tycz­ne – wyge­nero­wany i wcze­śniej zapi­sany – i wte­dy wyge­nero­wał­by plik PDF oraz XML. W razie, gdy się coś nie zgadza, zapro­sił­by do odbio­ru wyni­ku oso­biście.

W tym miej­scu nale­ży zazna­czyć, że wyni­ki badań są bez­warto­ścio­we dla prze­stę­pcy, gdy może je odczy­tać, ale nie może się dowiedzieć do kogo one nale­żą. Są one przy­dat­ne do dys­kry­mina­cji i zastra­sza­nia, gdy można wska­zać ofia­rę. Gdy na pod­sta­wie danych nie da się wska­zać oso­by, do któ­rej one nale­żą – zazwy­czaj prze­sta­ją być dany­mi oso­bowy­mi chro­nio­nymi w myśl RODO. Dany­mi oso­bowy­mi chro­nio­nymi nie są bowiem dane zano­nimi­zowa­ne.

Ten sce­nariusz nie doty­czy jednak wyni­ków zawie­rają­cych dane gene­tycz­ne – tu na pod­sta­wie same­go wyni­ku możli­we jest okre­śle­nie do kogo one nale­żą – trze­ba zasto­sować inną meto­dę. Tyl­ko ile takich badań wyko­nuje się dzien­nie? Zawsze w przy­pad­ku danych gene­tycz­nych można zapro­sić pacjen­ta obli­gato­ryj­nie po odbiór oso­bisty.

W dru­gim roz­wią­zaniu na eta­pie zle­cania bada­nia nale­ży wyge­nero­wać klien­towi loso­we hasło jedno­razo­we o dłu­gości mini­mum 32 zna­ków. Jedno­cze­śnie trze­ba wyge­nero­wać klucz algo­ryt­mu Rabi­na, RSA lub ElGa­mal i hasłem tym zaszy­fro­wać wyge­nero­wany klucz pry­wat­ny. To umo­żli­wia klien­towi odzy­ska­nie klu­cza pry­wat­nego (zna hasło). ALAB był­by w sta­nie zaszy­fro­wać wyni­ki badań i publicz­nie umie­ścić je na serwe­rze wraz z zaszy­fro­wanym klu­czem pry­wat­nym. Do przy­goto­wania wyni­ku ALAB użył­by zna­nego klu­cza publicz­nego.

W takiej sytu­acji szy­fro­gram wyni­ków labo­rato­ryj­nych i zaszy­fro­wany klucz pry­wat­ny pozo­sta­ją publicz­nie dostę­pne na serwe­rze. Prze­stę­pca może je pobrać bez potrze­by wła­mywa­nia się. Nie może jednak uzy­skać dostę­pu do danych, ponie­waż musiał­by znać klucz pry­wat­ny. Ten pozo­sta­je zaszy­fro­wany dłu­gim hasłem nie­możli­wym do zła­mania w kró­tkim cza­sie. W sytu­acji, gdy klu­cze publicz­ne nie są publi­kowa­ne onli­ne i spó­łka kaso­wała­by je po przy­goto­waniu wyni­ków – nie jest możli­we też podro­bie­nie danych na serwe­rze, bowiem prze­stę­pca nie zna klu­cza publicz­nego. Ata­ki mają­ce na celu podro­bie­nie danych są jednak rzad­kością w sto­sun­ku do ata­ków mają­cych na celu pozy­ska­nie danych oso­bowych.

Po stro­nie JavaSc­riptu prze­glą­dar­ki musia­łoby być możli­we:

  • popro­sze­nie klien­ta o poda­nie nume­ru bada­nia i hasła do bada­nia (bez nume­ru PESEL),
  • odszy­fro­wanie klu­cza pry­wat­nego przy uży­ciu wpro­wadzo­nego hasła,
  • pobra­nie i odszy­fro­wanie danych po uzy­ska­niu dostę­pu do jedno­razo­wego klu­cza pry­wat­nego,
  • wyge­nero­wanie pli­ku PDF i XML lub zwró­cenie komu­nika­tu błę­du (klucz jest nie­pra­widło­wy lub dane są nie­czy­tel­ne po deszy­fro­waniu).

Dru­gie roz­wią­zanie może być sto­sowa­ne również do danych gene­tycz­nych. Bada­nie pozo­sta­je zaszy­fro­wane do cza­su wpro­wadze­nia hasła. Na serwe­rze nigdy nie prze­bywa w posta­ci nie­zaszy­fro­wanej. Zaszy­fro­wane pli­ki i zaszy­fro­wane klu­cze można prze­cho­wywać w publicz­nej chmu­rze.

Podat­ność jaka tu pozo­sta­je to możli­wość podmia­ny JavaSc­riptu tak, by prze­syłał prze­stę­pcy klu­cze lub odszy­fro­wane wyni­ki badań. Jest to jednak pro­ces dłu­gotrwa­ły i ogra­niczo­ny jedy­nie do ofiar, któ­re pobra­ły zmo­dyfi­kowa­ny skrypt. Ryzy­ko jest więc małe o ile istnie­je prze­gląd zawa­rto­ści witry­ny słu­żącej do odbio­ru wyni­ków.

Jak się teraz ochro­nić?

Sko­ro dane są w rękach prze­stę­pców (co zosta­nie potwie­rdzo­ne osta­tecz­nie 31 gru­dnia 2023 roku, gdy okup nie zosta­nie opła­cony przez ALAB lub kogoś inne­go), nie­wie­le da się zro­bić, bowiem w Pol­sce nie istnie­je insty­tucja zmia­ny nume­ru PESEL. Każdy komu zale­ży na pry­wat­ności, powi­nien napi­sać do MSWiA wnio­sek o umo­żli­wie­nie wymia­ny nume­ru PESEL na żąda­nie. Zmia­na same­go imie­nia i nazwi­ska nie ma sen­su, bowiem każdy wciąż z opu­bli­kowa­nych archi­wów może pobrać dane po nie­zmie­nial­nym nume­rze PESEL. Są dwie sytu­acje, w któ­rych można wraz z imie­niem i nazwi­skiem zmie­nić numer PESEL – jest to zmia­na ozna­cze­nia płci w doku­men­tach oraz przy­padek świad­ka koron­nego. Korzy­sta­nie z tych opcji jest jednak szko­dli­we i nie­odpo­wie­dnie dla oby­wate­li, któ­rych te sytu­acje nie doty­czą. Ozna­cza więc to nie­dostę­pność faktycz­ną zmia­ny nume­ru PESEL.

Aby na pro­blem ten zwró­cono w koń­cu uwa­gę, nale­ży pisać pozwy do sądu o odszko­dowa­nie za upu­blicz­nie­nie danych. Sku­tki wycie­ku są dale­kie, a już samo pra­wo do pry­wat­ności jeszcze jest pra­wem chro­nio­nym kon­sty­tucyj­nie. Ban­kruc­two kil­ku firm z sekto­ra medycz­nego po pozy­tywnych wyro­kach sądów powin­no pomóc prze­trzeć im oczy.

Dys­kry­mina­cja w pra­cy

W pra­cy trze­ba podać numer PESEL już po pod­pisa­niu umo­wy. Umo­wę i skie­rowa­nie na bada­nia wstę­pne spo­rzą­dza się obe­cnie bez nume­ru PESEL, o ile czy­ni się to papie­rowo. Elek­tro­nicz­nie wciąż nie można zawrzeć umo­wy o pra­cę bez poda­nia nume­ru PESEL (opro­gra­mowa­nie pod­pisu cyfro­wego zawsze wsta­wia numer PESEL).

W pra­cy nie tyl­ko pra­coda­wca może dys­kry­mino­wać oby­wate­la. Mogą to robić inni pra­cowni­cy, szcze­gól­nie ci wyż­si w hie­rar­chii, np. mene­dże­rowie. Aby temu zapo­biec nale­ży w pra­cy posłu­giwać się pseudo­nimem, któ­ry budo­wą przy­pomi­na imię i nazwi­sko. W tym celu nale­ży napi­sać i roze­słać CV poda­jąc zamiast imie­nia i nazwi­ska usta­lony pseudo­nim (sta­ły w okre­ślo­nym dłuż­szym cza­sie). Wypeł­nia­jąc kwe­stio­nariusz oso­bowy nale­ży podać «pra­wdzi­we» imię i nazwi­sko i zazna­czyć w nim, że uży­wamy inne­go imie­nia i nazwi­ska. Można więc w for­mula­rzu tym napi­sać «Imię: Danu­ta, uży­wane imię: Ali­cja».

Można też napi­sać na koń­cu, aby w syste­mach poza­kadro­wych (e­‑mail, nazwa kon­ta Win­dows/Google itp.) i wśród kole­gów fir­ma uży­wała poda­nych uży­wanych danych. Spra­wę tą zawsze można wyja­śnić tym, że jest się w pro­cesie zmia­ny danych, ale aby je zmie­nić, trze­ba je naj­pierw uży­wać.

Po takim zabie­gu gdy Danu­ta Nowak jest zna­na jako Ali­cja Kowal­ska wśród kole­gów z pra­cy – nie mogą się oni dowiedzieć jaki jest stan zdro­wia Danu­ty i czy jest ona zaka­żona HIV. Nie da się też wte­dy dys­kry­mino­wać z innych przy­czyn medycz­nych, któ­rych nie widać na zewnątrz (wyso­ki cho­leste­rol cza­sami potra­fi się przed­sta­wić zmia­nami na twa­rzy).

Kradzież toż­samo­ści

Dane poda­ne w wyni­kach ALAB‑u pozwa­lają na kradzież toż­samo­ści. Bra­kuje w nich nume­ru dowo­du oso­biste­go, gdy ma się nada­ny numer PESEL. Nale­ży nie poda­wać niko­mu nume­ru dowo­du oso­biste­go. Pyta­nie o tą daną pod­czas rekru­tacji do pra­cy powin­no od razu wzbudzić alarm. Numer PESEL bowiem jest potrzeb­ny dopie­ro, gdy pra­cownik zosta­nie dopu­szczo­ny do pra­cy. W umo­wie o pra­cę nie wpi­suje się nume­ru PESEL.

Możli­we jest wciąż wyłudza­nie wię­kszej ilo­ści danych, bowiem pod­czas reje­stra­cji w pla­cówkach medycz­nych jedy­ną wery­fika­cją pod­czas roz­mów tele­fonicz­nych jest poda­nie PESEL.

Nale­ży też uni­kać publi­kacji bio­metrycz­nego wize­run­ku oraz odma­wiać wszel­kich akty­wno­ści, gdzie jedna oso­ba wyma­ga od dru­giej włą­cze­nia kame­ry. Żąda­nie prze­kaza­nia wize­run­ku pod­czas roz­mowy kwa­lifi­kacyj­nej jest zła­maniem pra­wa pol­skie­go. Danych bio­metrycz­nych nie wol­no bowiem prze­twa­rzać bez zapi­sanej w pra­wie pod­sta­wy pra­wnej. Pod­czas rekru­tacji do pra­cy nigdzie nie wystę­puje taka pod­sta­wa pra­wna. Nawet pod­czas rekru­tacji na ochro­nia­rza!

Odma­wiać prze­kaza­nia wize­run­ku nale­ży dla­tego, że wize­runek ten wraz z dany­mi z ALAB‑u może zostać uży­ty do wyłudze­nia kre­dytu oraz udo­wodnie­nia, że oso­ba ta była w danym miej­scu, na co oszust przed­sta­wi dowód w posta­ci foto­gra­fii lub też foto­gra­fii prze­robio­nej kom­pute­rowo z uży­ciem AI. Taki dowód może być cięż­ki do oba­lenia w sądzie.

Do prze­myśle­nia

Czy syste­my infor­matycz­ne sądów są zbu­dowa­ne w opar­ciu o PKI? Spra­wy sądo­we oby­wate­li zare­jestro­wane na kame­rze zawie­rają: wize­runek bio­metrycz­ny, zapis gło­su bio­metrycz­nego (wprost do szko­lenia sztucz­nej inte­ligen­cji), imię, nazwi­sko, infor­macje o cho­robach (zwol­nie­nia L4 sądo­we), adre­sy zamie­szka­nia, dane o ska­zaniu.

Czy oni też cze­kają na palec boży świa­towe­go RA?

Pod­sumo­wanie

Syste­my medycz­ne nale­ży budo­wać tak, aby nie było potrze­by się do nich wła­mywać. Dane mogą być prze­cho­wywa­ne w publicz­nych chmu­rach w for­mie zaszy­fro­wanej klu­czem algo­ryt­mu asy­metrycz­nego. Hasła i klu­cze tam gdzie się da, powin­ny być jedno­razo­we (jeden arkusz wyni­ków = 1 klucz). Nie nale­ży syste­mów budo­wać tak, że dziu­ra gdzie­kolwiek spo­wodu­je dostęp do danych.

Archi­tektu­ra PKI jest odpo­wie­dnia do tego, aby wię­cej nie było przy­pad­ków typu «ALAB failed suc­ces­sful­ly» lub też «ALAB sucks A55 ful­ly». Archi­tektu­ra PKI nie wyma­ga od klien­ta, żeby posia­dał pod­pis cyfro­wy lub jaki­kolwiek klucz. Wystar­cza­jące jest prze­kaza­nie dłu­gie­go hasła do każde­go arku­sza wyni­ków.

Oby­wate­le powin­ni również robić pro­testy prze­ciwko przy­muso­wej cyfry­zacji reje­strów medycz­nych oraz pisać wnio­ski do Mini­ster­stwa Zdro­wia o cof­nię­cie prze­cho­wywa­nia danych w for­mie cyfro­wej, jako podat­nej na wykra­dnię­cie. Wykra­dnię­cie realne, nie tyl­ko teore­tycz­ne, jak poka­zało życie. Cyfry­zacja przy­nosi wię­cej szkód niż korzy­ści.

Zamknij Przewiń w górę Przewiń w dół