25 мая 2023 года Роскомнадзор заявил СМИ, что надзорное ведомство проверит информацию о возможной утечке персональных данных пользователей лаборатории «Ситилаб».
«Роскомнадзор проверит информацию о возможной утечке персональных данных в сети клинико-диагностических лабораторий "Ситилаб"», — говорится в сообщении ведомства.
По закону о персональных данных оператор в течение суток с момента утечки должен уведомить надзорное ведомство. «Оператор ПД уведомил Роскомнадзор об инциденте в сроки, установленные законодательством», — пояснил СМИ регулятор.
22 мая 2023 года хакеры выложили в открытый доступ часть базы данных зарегистрированных пользователей лаборатории «Ситилаб».
Хакеры утверждают, что им удалось похитить 14 ТБ внутренних данных из IT-инфраструктуры сети медцентров. Злоумышленники выложили в качестве доказательства для анализа архив объёмом 1,7 ГБ, который содержит текстовые дампы и 1000 файлов в формате PDF, включая сканы договоров, сканы паспортов клиентов, чеки, маркетинговые материалы, результаты анализов, исследований и прочие сведения.
Эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI пояснили, что в опубликованных хакерами дампах содержатся данными пользователей «Ситилаб», включая:
ФИО;
номер телефона (435 тыс. уникальных номеров);
адрес электронной почты (483 тыс. уникальных адресов);
хешированный пароль;
дату рождения (не у всех);
дату регистрации (с 01.01.2007 по 18.05.2023).
В DLBI выборочно проверили случайные адреса электронной почты из этой утечки через форму восстановления пароля на сайте my.citilab.ru/client/ и выяснили, что они все действительные.
