Bir DNA tanılama şirketi, 2021’de suçluların kendi ağına girip şirketin unuttuğu dokuz yıllık “eski” bir veritabanından iki milyondan fazla kişinin kişisel verilerini çaldığı bir saldırının ardından 400.000 dolar ödeyecek ve güvenliğini artıracak.
Genetik test firması DNA Diagnostics Center (DDC), iki eyalette yaşayan 45.000 kişinin sosyal güvenlik numaralarının açığa çıkması ve eyaletlerin her birinin 200.000 $ almasıyla geçen hafta Ohio ve Pensilvanya’daki eyalet başsavcılarıyla bir uzlaşma anlaşmasına vardı. . Nihayetinde 2021 saldırısı, ABD genelinde genetik testlerden geçmiş 2,1 milyondan fazla insanın verilerini ifşa etti.
onun üzerinde İnternet sitesişirket, laboratuvar müdürü Dr Baird’in OJ Simpson davası, Anna Nicole Smith babalık davası ve Prince emlak davası gibi davalarda DNA uzmanı danışmanlığı sağladığını söylüyor. DDC babalık testi, göçmenlik testi, veterinerlik DNA testi ve adli tıp testi sunmaktadır.
Suçluların fidyesi, devre dışı bırakılmış bir sunucu ve unutulmuş bir veritabanı
Mahkeme belgelerine göre, çalınan müşteri verileri daha önce DDC tarafından 2012 yılında iş portföyünü genişletmek amacıyla bir İngiliz şirketinden satın alınmıştı ve “ihlal özellikle herhangi bir ticari amaç için kullanılmayan, ancak sağlanan veritabanlarını içeriyordu. Orchid Cellmark’ın 2012’de satın alınmasının bir parçası olarak DDC.”
DDC, “hassas kişisel bilgiler” içeren etkilenen veritabanlarının yanlışlıkla DDC’ye aktarıldığını iddia etti. Orkide Hücre İşareti bilgisi olmadan ve ihlal sırasında – satın almanın üzerinden dokuz yıldan fazla bir süre geçmişken – bu eski veritabanlarının sistemlerinde var olduğunun “farkında olmadığını” söyledi. Ayrıca bir envanter değerlendirmesi ve bir sistem sızma testi yaptığını söyledi; ancak, değerlendirmeler yalnızca “aktif müşteri verilerine” odaklandığından, “hassas kişisel bilgileri düz metin olarak depolayan eski veritabanları” bu testler sırasında tanımlanmadı.
Göre yerleşim anlaşması [PDF] Pennsylvania ile imzalanan şirket, harekete geçmeden önce MSP’sinden gelen uyarıları aylarca görmezden geldi. “28 Mayıs 2021 gibi erken bir tarihte, DDC’nin yönetilen hizmet sağlayıcısı, DDC’nin ağında İhlal ile ilgili şüpheli etkinlik olduğunu şirkete bildirmek için DDC’ye iki aylık bir süre içinde birkaç otomatik uyarı göndermeye başladı.”
Anlaşmaya göre, Ağustos 2021’e kadar hizmet sağlayıcı, DDC’nin ağında Cobalt Strike kötü amaçlı yazılımının gözlemlendiğini ve bunun “sonunda DDC’nin olay müdahale planını etkinleştirmesine yol açtığını” DDC’ye bildirdi.
Yasal haber sitesi Hukuk360bu arada, bir DDC sözcüsünün, dahili BT ekibinin Mayıs ayı e-posta uyarısına “potansiyel olarak savunmasız olan teknik varlıkların hizmet dışı bırakılması yoluyla” yanıt verdiğini iddia ettiğini aktardı.
Yerleşime göre:
DDC daha sonra çalınan verilerin silinmesi karşılığında saldırgana ödeme yaptı. yerleşme katma.
Ohio Başsavcısı, soruşturmasının DDC’nin müşteriye yönelik gizlilik politikasında “önemli yanlış beyanlar” yaparak “aldatıcı veya haksız ticari uygulamalar” uyguladığını bulduğunu iddia etti. Politika tanıdık gelecek kayıt okuyucular ve okuyun: “Bilgilerinizin güvenliğini korumaya kararlıyız. Bilgilerinizi yetkisiz erişime, kullanıma veya ifşaya karşı korumaya yardımcı olmak için çeşitli makul güvenlik teknolojileri ve prosedürleri kullanıyoruz. Kişisel bilgilerinize erişim sınırlıdır ve biz Kişisel bilgilerinizin erişilebilir olmamasını sağlamak için makul önlemler alın.”
Anlaşmanın şartlarına göre DDC, güvenlik uygulamalarını iyileştirmeli, bir siber güvenlik patronu tutmalı ve feshedilmiş veritabanları gibi “herhangi bir ticari amaca hizmet etmeyen” bilgileri çöp kutusuna atmalı. Genetik test işi ayrıca düzenli yazılım güncellemeleri uygulamaya başlamalı, ağlarını sızdırmalı ve 2FA eklemelidir. Ve şirket, “makul süreler içinde” gelecekteki şüpheli ağ faaliyetlerini araştıracağını ve yanıtlayacağını kabul etti.
Ohio Başsavcısı Dave Yost söz konusu uzlaşma: “İhmal, tüketici verilerinin çalınmasına izin vermek için bir mazeret değildir.” Pennsylvania AG vekili Michelle Henry şunları ekledi: “Bu suçlular ne kadar çok kişisel bilgiye erişirse, bilgileri çalınan kişi o kadar savunmasız hale gelir.”
DDC’den yorum istedik. ®