Et DNA-testingsselskap har rapportert et datainnbrudd som lekket personopplysninger – inkludert personnummer og bankinformasjon – til mer enn 2 millioner mennesker, ifølge et varselbrev selskapet er sende ut til de berørte.
Bleeping Computer, som først rapporterte bruddet, sa at 2 102 436 personer fikk informasjonen sin avslørt av DNA Diagnostics Center, et Ohio-basert DNA-testingsselskap.
I en melding delt på selskapets nettside sa DNA Diagnostics Center at 6. august oppdaget tjenestemenn i selskapet “potensiell uautorisert tilgang til nettverket, hvor det var uautorisert tilgang og anskaffelse av en arkivert database som inneholdt personlig informasjon samlet inn mellom 2004 og 2012.”
Ytterligere undersøkelser avdekket at hackere hadde fjernet filer og mapper fra deler av databasen mellom 24. mai og 28. juli.
“Den berørte databasen var assosiert med et nasjonalt system for genetisk testing som DDC kjøpte i 2012. Dette systemet har aldri vært brukt i DDCs virksomhet og har ikke vært aktivt siden 2012. Derfor er ikke virkninger fra denne hendelsen assosiert med DDC. Men, Berørte individer kan ha fått informasjonen deres, som personnummer eller betalingsinformasjon, påvirket som et resultat,” sa selskapet i en uttalelse.
“Da vi fikk vite om dette problemet, inneholdt og sikret DDC trusselen proaktivt og utførte en rask og grundig etterforskning i samråd med tredjeparts cybersikkerhetseksperter. DDC har også koordinert tett med rettshåndhevelse etter oppdagelsen av denne hendelsen. Vår undersøkelse fastslo at uautorisert(e) personer fjernet potensielt visse filer og mapper fra deler av databasen vår mellom 24. mai 2021 og 28. juli 2021. DDC har vært og forblir fullt operativt, og systemene og databasene som brukes aktivt av DDC ble ikke infiltrert. Den grundige etterforskningen ble avsluttet 29. oktober 2021, og DDC har begynt å varsle personer som potensielt er berørt av denne hendelsen.”
DDC la til at det arkiverte systemet aldri ble brukt direkte av selskapet og at alle som har personlige informasjon ble søkt tilbys Experian kredittovervåking.
De bemerket at hvis du ble tvunget til å ta en relasjons-DNA-test som en del av en rettssak eller fikk uavhengig, individuell testing mellom 2004 og 2012, men ikke har mottatt et brev fra DDC, bør du ringe 1-855-604-1656 for mer informasjon.
DDC hevdet at det samarbeider med cybersikkerhetseksperter for å “gjenvinne besittelse” av den stjålne informasjonen, men anbefaler alle som tror informasjonen deres kan være involvert om å sette på plass et 1-års “svindelvarsel” på kredittfilene deres.
DDC svarte ikke på forespørsler om kommentarer, men bemerket at de gjennomfører mer enn én million DNA-tester hvert år.
Chris Clements, en visepresident ved Cerberus Sentinel, kritiserte DDC for “uoppriktig forsøk på å avlede ansvaret for bruddet” på grunn av deres kommentarer om at systemet ikke er direkte knyttet til selskapet deres.
“Det spiller ingen rolle hvilken organisasjon som “startet” med dataene, når du først har anskaffet dem, blir det ditt ansvar. Jeg kan være mer tilgivende hvis dataene først nylig ble innhentet av DDC, men nå har de hatt det nesten en tiår,” sa Clements.
“Hvis du ikke er klar over at en gitt eiendel eksisterer, kan du ikke begynne å sikre den ordentlig. En annen observasjon er forsinkelsen på nesten tre måneder mellom begynnelsen av bruddet og første oppdagelse. DDC har ikke avslørt hva som utløste erkjennelsen av at de hadde blitt utsatt for et nettangrep, men de fleste organisasjoner oppdager at et kompromiss kun har skjedd når de ble kontaktet av en tredjepart som sikkerhetsforskere som har sporet et stjålet datasett på det mørke nettet tilbake til selskapet deres, eller når kontaktet av trusselaktøren selv med krav om utpressing.”
Sikkerhet
Her er den perfekte gaven for å beskytte alle med en PC, Mac, iPhone eller Android Hit by ransomware? Ikke gjør denne første åpenbare feilen Over en million WordPress-nettsteder ble brutt Hackere brukte denne programvarefeilen til å stjele kredittkortopplysninger fra tusenvis av nettforhandlere Security TV | Databehandling | CXO | Datasentre