Önde gelen bir DNA testi firması, Pennsylvania ve Ohio başsavcılarıyla bir çift davada anlaşmaya vardı. gören bir 2021 bölümünün ardından siber suçlular hırsızlık yapmak her iki eyaletten 45.000 müşterinin sosyal güvenlik numaraları da dahil olmak üzere 2,1 milyon kişiye ilişkin veriler. Açılan davalar sonucunda söz konusu şirket olan DNA Diagnostics Center (veya DDC), her iki hükümete toplam 400.000 $ ödemek zorunda kalacak. ve ayrıca dijital güvenlik uygulamalarını güçlendirmeyi kabul etti. Şirket, eski bir veritabanında saklandığı için çalınan verilere sahip olduğunu bile bilmediğini söyledi.
onun üzerinde İnternet sitesiDDC kendisini “özel DNA testinde dünya lideri” olarak adlandırıyor ve laboratuvar direktörünün bir dizi yüksek profilli ceza davasıyla ilişkisiyle övünüyor. OJ Simpson davası ve Anna Nicole Smith babalık davası. Şirket ayrıca, “DNA testi sorularının yanıtları için medyanın birincil kaynağı” olduğunu ve “TV şovları ve radyo programları için DNA testi yapan ilk laboratuvar” olarak kabul edildiğini iddia ediyor. Bunların hepsi kulağa çok etkileyici gelse de, DDC’nin kesinlikle “dünya lideri” olmadığı bir şey var: siber güvenlik uygulamaları. Son davalardan önce, şirketin hiç davası varmış gibi görünmüyor.
Bilgisayar korsanlığı olayının kanıtı ilk olarak 2021 yılının Mayıs ayında, DDC’nin yönetilen hizmet sağlayıcısı, firmaya ağındaki olağandışı etkinlik hakkında bilgi vermek için otomatik bildirim yoluyla iletişime geçtiğinde ortaya çıktı. Ne yazık ki, DDC bu bilgilerle pek bir şey yapmadı. Bunun yerine, MSP bir kez daha ulaşmadan önce birkaç ay bekledi – bu sefer ona ağında artık Cobalt Strike kanıtı olduğunu bildirmek için.
kobalt saldırısı sık kullanılan popüler bir penetrasyon testi aracıdır. birlikte seçilmiş suçlular tarafından zaten güvenliği ihlal edilmiş ağlara daha fazla nüfuz etmek için. Beklenmedik bir şekilde onu ağınızda bulmak asla iyiye işaret değildir. DDC, MSP’sinin uyarılarına resmi olarak yanıt verdiğinde, bir bilgisayar korsanı, hem Ohio hem de Pensilvanya’dan 45.000 müşterinin sosyal güvenlik numaraları da dahil olmak üzere ABD’de genetik olarak test edilmiş 2,1 milyon kişiye ilişkin verileri çalmayı başardı.
Kayıt raporlar çalınan verilerin, DDC’nin yıllar önce topladığı ve görünüşe göre sahip olduğunu unuttuğu bir “eski veritabanının” parçası olduğu. 2012’de DDC, başka bir adli tıp firması olan Orchid Cellmark’ı satın almıştı. satışla birlikte firmanın veritabanlarını toplamak. DDC daha sonra, dijital kasalarının daha önceki bir envanterinin şu bilgilere dair hiçbir iz bulmadığını iddia ederek, verilerin kendi sistemlerinde olduğundan bile habersiz olduğunu iddia etti. milyonlarca insan bu daha sonra bilgisayar korsanı tarafından artırıldı.
G/O Media komisyon alabilir
Veri ihlali haberlerinin ortaya çıkmasından kısa bir süre sonra Ohio ve Pennsylvania şirkete dava açtı.
“İhmal, tüketici verilerinin çalınmasına izin vermek için bir mazeret değildir” söz konusu Ohio Başsavcısı Dave Yost, olayla ilgili. “Tüketicilerin haklı olarak beklediği gibi, vatandaşların kişisel verilerinin gizli kalmasını sağlamak için Pennsylvania ile ortaklık yapmaktan gurur duyuyoruz.”
“Bu suçlular ne kadar çok kişisel bilgiye erişirse, bilgileri çalınan kişi o kadar savunmasız hale geliyor” söz konusu Pennsylvania Başsavcısı vekili Michelle A. Henry. “İşte bu yüzden Ofisim, Ohio’daki Başsavcı Yost’un yardımıyla harekete geçti.”
Son yerleşimlerin bir sonucu olarak, DCC bazı temel korumaları yürürlüğe koymak zorunda kalacak. Bu, bir profesyonel CISO bilgi güvenliği programını denetlemek, ağına ilişkin ara sıra güvenlik riski değerlendirmeleri yapmak, Varlık envanteriverilerini korumak için “makul güvenlik önlemleri” tasarlamak ve uygulamak ve “ağındaki şüpheli ağ etkinliğine makul yollarla” yanıt vermek için bir plan geliştirmek – bunların tümü çoğu şirketin yapması gereken oldukça basit şeylerdir.