Przestępcy zostawili lakoniczną notkę:
Ta firma nie chce zapłacić $0.5 (~2zł) od klienta by chronić ich prywatność.
W grudniu wypowiadał się również dla redakcji Niebezpiecznika Seweryn Dmowski z Alab'u:
Zdarzenie to jest przede wszystkim konsekwencją stanowczej postawy spółki, która nie negocjuje z cyberprzestępcami i nie zamierza spełniać ich żądań w zakresie okupu. Spodziewając się takiego rozwoju wydarzeń oraz szczerze komunikując możliwe scenariusze negatywne do mediów i opinii publicznej, jesteśmy w trakcie szczegółowej analizy danych opublikowanych przez przestępców. Wstępna analiza wskazuje na to, że wcześniej prawidłowo zidentyfikowaliśmy zakres danych, do których nieautoryzowany dostęp uzyskali przestępcy. Jesteśmy w stałym kontakcie ze wszystkimi instytucjami publicznymi odpowiedzialnymi za zwalczanie cyberprzestępczości oraz bezpieczeństwo i ochronę danych osobowych. Naszą intencją pozostaje otwarta i transparentna współpraca ze wszystkimi właściwymi instytucjami, w tym także mediami, w zakresie pełnego wyjaśniania wszystkich aspektów wspomnianego incydentu bezpieczeństwa. Wszelkimi dalszymi informacjami podzielimy się jak tylko będzie to możliwe – do tego czasu pozostajemy do Państwa dyspozycji w razie jakichkolwiek pytań. Pragnę podkreślić, że konsekwentnie realizujemy politykę informowania wszystkich osób, których dane zostały upublicznione w Internecie przez przestępców, o wynikających z tego faktu zagrożeniach oraz udzielamy im wsparcia w zakresie nieodpłatnego uzyskania alertu BIK na okres 6 miesięcy.
Co Wy na takie załatwienie sprawy?
Jesteście w wycieku?
Jak oceniacie ruchy ALABu?
#cyberbezpieczenstwo #internet #wyciekdanych #leak #ransomware #hacking #komputery
Jak oceniasz działania ALABu po wycieku?
Skoro nie chce płacić 2zł od osoby to niech płaci odszkodowania
W Niemczech taki incydent wiązałby się z minimum 20mln eur mandatu oraz wypłatami dla poszkodowanych.
@tomasz-frankowski jakieś źródło?
@tomasz-frankowski Karę powinni dostać swoją drogą, podobnego precedensu w skali światowej (żeby typowo medyczne badania wypłynęły) do tej pory nie było, a kara powinna być rekordowa - niezależnie od tego czy by zapłacili.
@tomasz-frankowski Jakiekolwiek potwierdzenie przyznania kary w podobnej sytuacji w Niemczech?
Bo przysłałeś same przepisy GDPR, które ogólnie całej Unii dotyczą więc generalnie nas też.
@tomasz-frankowski ale tu jest tylko informacja że kara może wynieść DO 20 mln euro (lub 4% przychodu), a nie że minimum jak przytoczyłeś.
Byłam ciekawa czy masz przykład konkretnie firmy, która został ukarana mandatem w takiej wysokości. Tym bardziej że w Polsce np. morele miało te kary stosunkowo niskie a opieramy się na podobnym źródle prawa - GDPR.
@tomasz-frankowski
> W Niemczech taki incydent wiązałby się z minimum 20mln eur mandatu oraz wypłatami dla poszkodowanych.
Bzdura.
20 mln euro to drugi maksymalny próg kary z RODO, ale w Niemczech taka kara za wyciek nie została nigdy orzeczona.
Największa kara tam była za zbieranie danych wbrew prawu - czyli coś całkiem innego.
@zuchtomek
> Karę powinni dostać swoją drogą, podobnego precedensu w skali światowej (żeby typowo medyczne badania wypłynęły) do tej pory nie było, a kara powinna być rekordowa - niezależnie od tego czy by zapłacili.
Mnóstwo było takich wycieków --> https://www.upguard.com/blog/biggest-data-breaches-in-healthcare
Co więcej - RODO nie przewiduje kary za sam fakt wycieku. Kary są za niezastosowanie adekwatnych do ryzyk środków technicznych i organizacyjnych służących ochronie danych. Jeśli wykorzystana została podatność "zero-day" albo zainfekowano systemy z uwagi na błąd pracownika mimo szkoleń i innych środków to kary może nie być w ogóle.
Ale Polskie UODo jest upośledzone jeszcze (Pisowcy tam siedzą) i będzie dążyć do kary piniężnej.
> Jakiekolwiek potwierdzenie przyznania kary w podobnej sytuacji w Niemczech?
Nie było takiej.
![14 Biggest Healthcare Data Breaches [Updated 2023] | UpGuard](https://assets-global.website-files.com/5efc3ccdb72aaa7480ec8179/61fcc99c9815cd18182c8ed3_Biggest%20data%20breaches%20in%20healthcare.jpg)
@GordonLameman No tak, trochę mnie poniosło, aczkolwiek USA nie obowiązuje GDPR
Podobny wyciek był we Francji: https://www.bleepingcomputer.com/news/security/medical-software-firm-fined-15m-for-leaking-data-of-490k-patients/
Kara €1,5 mln - ale oczywiście nie za sam wyciek, a 'zaniedbania'
@zuchtomek
Gdyby UODO miało zastosować ten sam przelicznik to w przypadku ALAB kara wyniosłaby ok. 50 mln zł, czyli 6 razy więcej niż zysk spółki za 2022
@zuchtomek bawi mnie trochę guwnoburza z wyciekiem peseli, bo jakoś nikt nie protestuje o rządowy crbr, a tam mamy cały przegląd informacji o osobach xd
@ciszej dokładnie w punkt!
@ciszej Jak dla mnie mimo wszystko dane medyczne są cenniejsze i bardziej newralgiczne niż PESELE czy inne teleadresowe informacje.
@zuchtomek a to tak, mi rozchodzi się tylko o fragment o PESELach - jednak na tym skupiła się większość doniesień medialnych i w przypadku każdego wycieku jest to najszerzej komentowane. Jednocześnie są grupy zmuszane do ujawniana pełnych danych osobowych na widok publiczny
@ciszej No zmuszane nie są - nie muszą prowadzić działalności
Skupili się na tych PESELach, żeby pokazać, że COŚ robią.
@ciszej Co do PESEL to każdy specjalista z branży powie, że to co UODo wyrabia z PESELami to debilizm.
PESEL nie powinien być "tajny" - bo nie jest tajny w odniesieniu do dużej grupy osób (KRS, CRBR, etc).
Problemem było to, że w Polsce PESEL był używnay jako login - co jest karygodnym kurwa błędem.
Ale to się powoli zmienia.
@zuchtomek sprytne z tą działalnością xd
Sorry, ale za sprawdzenie bezpieczeństwa danych w IT się płaci. Ekipa zrobiła to może i bez konkretnego zamówienia ze strony ALAB, ale skutecznie wykryli luki i pewnie nawet wskazaliby je w ramach zapłaconego rachunku
Zdarzenie to jest przede wszystkim konsekwencją stanowczej postawy spółki, która nie negocjuje z cyberprzestępcami i nie zamierza spełniać ich żądań w zakresie okupu.
do których nieautoryzowany dostęp uzyskali przestępcy.
możliwe że system informatyczny był od początku przygotowany aby taki atak przeprowadzić ,
może to ustawka aby zarobić kasę na tych badaniach,
może to było planowane przez kartele farmaceutyczne,
taka ilość danych na temat zdrowia ludzi w danym kraju jest dla tych korpo - bandytów bezcenna
@bimberman
> możliwe że system informatyczny był od początku przygotowany aby taki atak przeprowadzić ,
Brednie.
> może to ustawka aby zarobić kasę na tych badaniach,
Upośledzone brednie
> może to było planowane przez kartele farmaceutyczne,
Kretyńskie brednie.
> taka ilość danych na temat zdrowia ludzi w danym kraju jest dla tych korpo - bandytów bezcenna
Nie, nie jest bezcenna. W naszym kraju nie są aż tak dużo warte - w USA, gdzie jest pełna dowolnośc przy reklamie usług medycznych są bardzo cenne. U nas? Wyjebka. Żadna firma nie może w UE tych danych wykorzystać. To są dane, które posłużą co najwyżej do spear-phishingu.
A ty jak zwykle prezentujesz postawę "gówno o temacie wiem, to się wypowiem i pokażę wszystkim jaki ze mnie matoł".
@bimberman
"możliwe że system informatyczny był od początku przygotowany aby taki atak przeprowadzić ,"
Grupa atakuje różne 'branże', wykorzystuje kod ransomwar'u Babuk i atakuje zapewne po prostu podatne urządzenia/usługi.
Lista ostatnich ofiar, które jeszcze mają czas zapłacić w foto poniżej np: https://www.nidec-gpm.com
"może to ustawka aby zarobić kasę na tych badaniach," - w sensie, że czyja ustawka i kto na tym chce zarobić i po co w takim razie publikuje te dane?
@zuchtomek
"może to ustawka aby zarobić kasę na tych badaniach," - w sensie, że czyja ustawka i kto na tym chce zarobić i po co w takim razie publikuje te dane?
może aby zamydlić oczy, że to zwykły napad na dane i próba zgarnięcia okupu,
ktoś pisze że info z badań jest nieistotne, że to zwykły włam możliwe ale zawsze trzeba szukać drugiego dna
z jakieś strony (3 kwietnia 2023):
Polski rynek apteczny jest wart prawie 46 mld zł. Połowa obrotów to sprzedaż leków bez recepty (OTC). Prognozy pokazują, że globalny rynek preparatów OTC (Over The Counter) będzie rósł średnio o 7 proc. rocznie przez najbliższe 8 lat.
jeśli na podstawie badań widać jaki jest stan zdrowia to można na tym zarobić wypuszczając zamienniki czy nowe preparaty na różne dolegliwości - olbrzymia kasa przez następne kilka lat
będzie rósł średnio o 7 proc. rocznie przez najbliższe 8 = 56% 46 mld zł + 56% ??
@bimberman
> może aby zamydlić oczy, że to zwykły napad na dane i próba zgarnięcia okupu,
W jaki sposób to ma zamydlić oczy?! Dane są opublikowane. Zacznij myśleć. Logicznie, kwa jego mać.
> ktoś pisze że info z badań jest nieistotne, że to zwykły włam możliwe ale zawsze trzeba szukać drugiego dna
Ty to lepiej psychiatry poszukaj.
> jeśli na podstawie badań widać jaki jest stan zdrowia to można na tym zarobić wypuszczając zamienniki czy nowe preparaty na różne dolegliwości - olbrzymia kasa przez następne kilka lat
Bzdura. Informacje o tym na co Polacy najwięcej chorują i z czym wejść na rynek są dostępne w ramch danych statystycznych. To co piszesz nie ma najmniejszego i sensu jest po prostu głupie. Teoria spiskowa godna 6-latka.
@bimberman
"może aby zamydlić oczy, że to zwykły napad na dane i próba zgarnięcia okupu," - to dalej nie odpowiada na moje pytanie czyja to ustawka..
Alabu? Po co jak oni mieli te dane i mogli je sprzedać po cichu?
"ktoś pisze że info z badań jest nieistotne"
kto tak pisze? Dane są istotne ale dla klientów bo można sprawdzić kto się badał na HIV i szantażować.
"z jakieś strony (3 kwietnia 2023):"
Znów 'z jakiejś' xD
I myślisz, że ten 46mld rynek potrzebuje danych Alabu i próbki 500k Polaków?
Przecież oni pewnie bezpośrednio ze szpitali i po prostu statystyk sprzedażowych widzą co ludzie kupują i na co jest zapotrzebowanie.
@bimberman ty to jestes specjalistą XD
@libertarianin dzięki
@zuchtomek a gdzie mozna sprawdzic te wyniki?
@GtotheG
Tu możesz sprawdzić, czy Twoje dane wyciekły:
https://bezpiecznedane.gov.pl/
Nie wiem tylko, czy baza jest zaktualizowana - pokazuje 12.2023, więc sprawdziłbym dziś i za parę dni.
CO do samych wyników - no nie mogę tego linkować. Etyka nie pozwala
@GtotheG Możesz na bezpieczne dane tak jak kolega napisał, albo jak nie ufasz rządowi to możesz u mnie albo u @GordonLameman zapewne ( ͡~ ͜ʖ ͡°)
@GordonLameman przeciez tam nawet nie pokazuja tych wynikow
@zuchtomek mozna po imieniu i nazwisku kogos sprawdzic?
@GtotheG
Chcesz sprawdzać swoich byłych? xDDDDDDDD
@GtotheG Jeśli ma się dane i potrafi filtrować to oczywiście, natomiast samo ich pobieranie i przetwarzanie jest nielegalne
@GordonLameman tak, problem?
@GtotheG
Z perspektywy prawa - tak.
Jestem z branży, w dodatku wiąże mnie etyka, więc ja tu niestety nie pomogę
> Jak oceniasz działania ALABu po wycieku?
@zuchtomek IMHO słuszna postawa - nie ma żadnej gwarancji, że po zapłaceniu okupu dane i tak nie zostaną opublikowane albo nie wystosowane zostaną kolejne żądania, a każdy zapłacony okup ośmiela kolejnych chętnych do ataku. Dane wyciekły, mleko się rozlało, i tak gdzieś prędzej czy później by zaczęły krążyć - nie ma sensu powiększać strat płaceniem okupu.
@motokate
Co więcej, tylko w 60% przypadkach po zapłaceniu okupu dane są odszyfrowywane w przypadku ransomware
@motokate
Według mnie jest to słuszna postawa jeśli wyciekają dane Twojej firmy, loginy i hasła czy nawet jakieś dane płatności.
Jednak w przypadku kiedy obracasz danymi zdrowotnymi setek tysięcy osób no to jednak dla maksymalizacji starań i zapewnienia bezpieczeństwa tych danych chwyciłbym się zapłaty okupu (mówi się o 500k poszkodowanych i wycenie na 2zł za osobę, więc okup prawdopodobnie na 1mln złotych opiewał.).
Oczywiście - nie ma żadnej gwarancji, ale przestępcom też zależy na swoistej 'reputacji'.
Oni na tym zarabiają i z takiego upubliczniania danych nic nie mają, a czas na taki atak mimo wszystko trzeba poświęcić.
Nie wydaje mi się również, że to kogokolwiek ośmiela - na tyle dużo tych grup istnieje, że większej 'promocji' nie potrzeba, a i tzw. próg wejścia jest tu dość wysoki i jednak niewiele osób to potrafi.
"nie ma sensu powiększać strat płaceniem okupu." - a jakie straty poniósł ALAB, że ma ich 'nie powiększać'? Póki co straty to jedynie prywatność ich klientów..
@GordonLameman Tu nie tyle chodziło o odszyfrowanie co bardziej o to żeby nie zostały upublicznione.
Nie mylmy też ogólnych statystyk wliczających script kiddies korzystających z RaaS ze zorganizowanymi grupami
@zuchtomek
> Tu nie tyle chodziło o odszyfrowanie co bardziej o to żeby nie zostały upublicznione.
Gdzieś czytałem, że ich zasoby były też zaszyfrowane. Nie wiem jak tam u nich backupy lecą, ale to też może być problem gdy mówisz klientowi, żeby pobrał sobie swoje wyniki z darknetu, bo oni nie mają xD
> Nie mylmy też ogólnych statystyk wliczających script kiddies korzystających z RaaS ze zorganizowanymi grupami
A to jasna sprawa. Inna rzecz, że gdyby negocjowali to nikt by się nie dowiedział tak wcześnie o wycieku. Trochę dziwne podejście, bo mogli za 1 mln zł temat załatwić, a tak to może kosztować ich dużo więcej.
@GordonLameman Prawdopodobnie zaszyfrowali, ale ALAB nie miał dużej przerwy w działaniu więc raczej odzyskali wszystko z backupów.
@zuchtomek kara karą ale rozegrali to wzorowo, w takich sytuacjach się nie negocjuje.
@zuchtomek jakby zrobili to wzorowo to by nie było wycieku
tak to najwyżej dostateczny minus mogą dostać bo nie negocjowali z nimi, wyjasniło się jak to się stało że wysłali maila o wycieku danych A a potem się okazało że są dane B jakieś? bo nie wczytywałem się za bardzo
@libertarianin
100% bezpieczeństwa nie istnieje, a jeśli ktoś mówi inaczej to kłamie. Różne są wektory ataku i nawet rozwiązania uważane szeroko za bezpieczne potrafią mieć nieznane szerzej 0-daye czy innego typu backdoory.
Na początku przestępcy opublikowali próbkę - niejako w celu potwierdzenia, że takie dane posiadają, dali czas na zapłatę okupu do końca roku i z obietnicy się wywiązali.
@libertarianin każdy kto choć trochę liznął temat wie że nie ma czegoś takiego jak "zrobienie wzorowo" i spokój
@zgrzyt @zuchtomek ja to wiem, mleko się rozlało - teraz tylko pozostał damage control
@zuchtomek niestety. Nie ma kary śmierci. Powiesić paru dla przestrogi to reszta by się zastanowiła nad tym co robią.
Bezczelne chamy
„Ta firma nie chce zapłacić $0.5 (~2zł) od klienta by chronić ich prywatność." - do roboty się weźcie gnoje, poprawić systemy bezpieczeństwa, grę stworzyć, animację czy jakieś programy lub aplikacje.
Głupie gry na komórki dziś to syf z reklamami. Szukałem ostatnio Angry Birds - nie ma. Usunęli. Ostatnie komentarze wskazują na multum reklam. Myślę sobie - Cut The Rope. Jest. Zainstalowałem i reklamy oraz subskrypcja co miesiąc by je wyłączyć. Nie kilka złotych za gierkę, tylko subskrypcja. I to droga, bo Netflix wychodzi w standardzie taniej, a są gry.
Dlaczego ci leniwi hakerzy nie zrobią fajnej gry za 20zł czy cokolwiek, skoro tacy sprytni? Wokół tylko syf, chciwość, a ci jeszcze kradną i pieprzą o „prywatności". Wysłać wszystkich takich do rosji, tam ich miejsce.
@zuchtomek no trudno. Dobrze zrobili, bo dla mnie czy dane będą publiczne czy do kupienia w darknecie to żadna różnica. Instytucje rządowe i bankowe powinny mieć plany awaryjne na takie okazje. Mam nadzieję, że mają.
taniej zaplacic kare niz sie przejmowac jakimis peirdolami.
Zaloguj się aby komentować