Et DNA-testfirma har rapporteret et databrud, der lækkede personlige oplysninger – inklusive CPR-numre og bankoplysninger – om mere end 2 millioner mennesker, ifølge et meddelelsesbrev, som virksomheden er udsende til de berørte.
Bleeping Computer, som først rapporterede bruddet, sagde, at 2.102.436 mennesker fik deres oplysninger afsløret af DNA Diagnostics Center, et Ohio-baseret DNA-testfirma.
I en meddelelse delt på virksomhedens hjemmeside sagde DNA Diagnostics Center, at den 6. august opdagede embedsmænd hos virksomheden “potentiel uautoriseret adgang til dets netværk, hvor der var uautoriseret adgang og erhvervelse af en arkiveret database der indeholdt personlige oplysninger indsamlet mellem 2004 og 2012.”
Yderligere undersøgelser afslørede, at hackere havde fjernet filer og mapper fra dele af databasen mellem 24. maj og 28. juli.
“Den påvirkede database var knyttet til et nationalt system for genetisk testningsorganisation, som DDC erhvervede i 2012. Dette system har aldrig været brugt i DDC's drift og har ikke været aktivt siden 2012. Derfor er påvirkninger fra denne hændelse ikke forbundet med DDC. Berørte personer kan have fået deres oplysninger, såsom CPR-nummer eller betalingsoplysninger, påvirket som et resultat,” sagde virksomheden i en erklæring.
“Efter at have lært dette problem indeholdt og sikrede DDC proaktivt truslen og udførte en hurtig og grundig undersøgelse i samråd med tredjeparts cybersikkerhedsprofessionelle. DDC har også koordineret tæt med retshåndhævelsen efter opdagelsen af denne hændelse. Vores undersøgelse fastslog, at uautoriserede personer har potentielt fjernet visse filer og mapper fra dele af vores database mellem 24. maj 2021 og 28. juli 2021. DDC har været og forbliver fuldt operationelt, og de systemer og databaser, der aktivt bruges af DDC, blev ikke infiltreret. Den dybtgående undersøgelse blev afsluttet den 29. oktober 2021, og DDC er begyndt at underrette personer, der potentielt er berørt af denne hændelse.”
DDC tilføjede, at det arkiverede system aldrig blev brugt direkte af virksomheden, og at enhver, hvis personlige oplysninger blev tilgået tilbydes Experian kreditovervågning.
De bemærkede, at hvis du blev tvunget til at få en forholds-DNA-test som en del af en retssag eller fik uafhængig, individuel test mellem 2004 og 2012, men ikke har modtaget et brev fra DDC, skal du ringe på 1-855-604-1656 for flere oplysninger.
DDC hævdede, at det arbejder sammen med cybersikkerhedseksperter for at “genvinde besiddelsen” af de stjålne oplysninger, men anbefaler alle, der mener, at deres oplysninger kan være involveret, at indsætte en 1-årig “bedrageri-alarm” på deres kreditfiler.
DDC reagerede ikke på anmodninger om kommentarer, men bemærkede, at det udfører mere end en million DNA-tests hvert år.
Chris Clements, en vicepræsident hos Cerberus Sentinel, kritiserede DDC for “uoprigtigt at forsøge at aflede ansvaret for bruddet” på grund af deres kommentarer om, at systemet ikke er direkte forbundet med deres virksomhed.
“Det er lige meget, hvilken organisation der 'startede' med dataene, når du først har erhvervet dem, bliver det dit ansvar. Jeg ville måske være mere tilgivende, hvis dataene først for nylig blev indhentet af DDC, men nu har de haft det næsten en årti,” sagde Clements.
“Hvis du ikke er klar over, at et givent aktiv eksisterer, kan du ikke begynde at sikre det ordentligt. En anden observation er den næsten tre måneder lange forsinkelse mellem begyndelsen af bruddet og den første opdagelse. DDC har ikke afsløret, hvad der udløste erkendelsen af, at de havde været udsat for et cyberangreb, men de fleste organisationer opdager, at et kompromis kun er sket, når de blev kontaktet af en tredjepart, såsom sikkerhedsforskere, der har sporet et stjålet datasæt på det mørke web tilbage til deres virksomhed, eller når kontaktet af trusselsaktøren selv med afpresningskrav.”
Sikkerhed
Her er den perfekte gave til at beskytte enhver med en pc, Mac, iPhone eller Android, der er ramt af ransomware? Begå ikke denne første åbenlyse fejl Mere end en million WordPress-websteder brudt Hackere brugte denne softwarefejl til at stjæle kreditkortoplysninger fra tusindvis af onlineforhandlere. Sikkerheds-tv | Datastyring | CXO | Datacentre