Ett företag som testar DNA har rapporterat ett dataintrång som läckte ut personlig information – inklusive personnummer och bankinformation – för mer än 2 miljoner människor, enligt ett meddelande som företaget är skickar ut till de drabbade.
Bleeping Computer, som först rapporterade intrånget, sa att 2 102 436 personer fick sin information exponerad av DNA Diagnostics Center, ett Ohio-baserat DNA-testföretag.
I ett meddelande som delas på företagets webbplats sa DNA Diagnostics Center att den 6 augusti upptäckte tjänstemän hos företaget “potentiell obehörig åtkomst till dess nätverk, under vilken det förekom obehörig åtkomst och förvärv av en arkiverad databas som innehöll personlig information som samlats in mellan 2004 och 2012.”
Ytterligare undersökningar visade att hackare hade tagit bort filer och mappar från delar av databasen mellan 24 maj och 28 juli.
“Den påverkade databasen var associerad med ett nationellt system för genetisk testningsorganisation som DDC förvärvade 2012. Detta system har aldrig använts i DDC:s verksamhet och har inte varit aktivt sedan 2012. Därför är effekterna från denna incident inte associerade med DDC. Men, drabbade individer kan ha fått sin information, såsom personnummer eller betalningsinformation, påverkad som ett resultat, säger företaget i ett uttalande.
“När DDC fick reda på det här problemet innehöll och säkrade DDC hotet proaktivt och genomförde en snabb och grundlig undersökning i samråd med externa cybersäkerhetsexperter. DDC har också samordnat nära med brottsbekämpande myndigheter efter upptäckten av denna incident. Vår undersökning fastställde att obehörig(a) individ(er) har potentiellt tagit bort vissa filer och mappar från delar av vår databas mellan 24 maj 2021 och 28 juli 2021. DDC har varit och förblir i full drift, och de system och databaser som aktivt används av DDC infiltrerades inte. Den djupgående utredningen avslutades den 29 oktober 2021, och DDC har börjat meddela individer som potentiellt kan påverkas av denna incident.”
DDC tillade att det arkiverade systemet aldrig användes direkt av företaget och att alla vars personliga information som nås erbjuds Experian kreditövervakning.
De noterade att om du var tvungen att få ett relations-DNA-test som en del av domstolsförfarandet eller fick oberoende, individuell testning mellan 2004 och 2012 men inte har fått ett postat brev från DDC, ska du ringa 1-855-604-1656 för mer information.
DDC hävdade att de arbetar med cybersäkerhetsexperter för att “återta besittning” av den stulna informationen men rekommenderar alla som tror att deras information kan vara inblandad att inrätta en 1-årig “bedrägerivarning” på sina kreditfiler.
DDC svarade inte på förfrågningar om kommentarer men noterade att de genomför mer än en miljon DNA-tester varje år.
Chris Clements, en vice vd på Cerberus Sentinel, kritiserade DDC för att “ouppriktigt försökte avleda ansvaret för intrånget” på grund av deras kommentarer om att systemet inte är direkt kopplat till deras företag.
“Det spelar ingen roll vilken organisation som “började” med uppgifterna, när du väl skaffar den blir det ditt ansvar. Jag kanske är mer förlåtande om uppgifterna först nyligen erhölls av DDC, men vid det här laget har de haft det nästan en decennium,” sa Clements.
“Om du inte är medveten om att en viss tillgång finns kan du inte börja säkra den ordentligt. En andra observation är den nästan tre månader långa fördröjningen mellan början av intrånget och första upptäckten. DDC har inte avslöjat vad som utlöste insikten om att de hade drabbats av en cyberattack, men de flesta organisationer upptäcker att en kompromiss endast har inträffat när de kontaktats av en tredje part som säkerhetsforskare som har spårat en stulen datauppsättning på den mörka webben tillbaka till deras företag, eller när kontaktade av hotaktören själva med utpressningskrav.”
Säkerhet
Här är den perfekta presenten för att skydda alla med en PC, Mac, iPhone eller Android Hit by ransomware? Gör inte detta första uppenbara misstag Över en miljon WordPress-webbplatser har brutits Hackare använde detta mjukvarufel för att stjäla kreditkortsuppgifter från tusentals onlineåterförsäljare Säkerhets-TV | Datahantering | CXO | Datacenter