Een groot DNA-testbedrijf heeft een schikking getroffen in een aantal rechtszaken met de procureurs-generaal van Pennsylvania en Ohio na een aflevering uit 2021 met: cybercriminelen: stelen gegevens over 2,1 miljoen mensen, inclusief burgerservicenummers voor 45.000 klanten in beide staten. Als gevolg van de rechtszaken zal het bedrijf in kwestie, DNA Diagnostics Center (of DDC), een gecombineerd bedrag van $ 400.000 moeten betalen aan de twee regeringen. en stemde er ook mee in om zijn digitale beveiligingspraktijken te versterken. Het bedrijf zei dat het niet eens wist dat het de gestolen gegevens had omdat het in een oude database was opgeslagen.
Op zijn website:DDC noemt zichzelf de “wereldleider in privé-DNA-testen” en schept op over de betrokkenheid van zijn laboratoriumdirecteur bij een aantal spraakmakende strafzaken, waaronder de OJ Simpson-proces en Anna Nicole Smith vaderschapszaak:. Het bedrijf beweert ook dat het “de belangrijkste bron van de media is voor antwoorden op vragen over DNA-testen” en wordt beschouwd als het “eerste laboratorium dat DNA-testen uitvoert voor tv- en radioprogramma’s”. Hoewel dit allemaal erg indrukwekkend klinkt, is er zeker één ding dat DDC niet de “wereldleider” is op het gebied van cyberbeveiliging. Vóór de recente rechtszaken lijkt het er niet echt op dat het bedrijf er een had.
Bewijs van de hack-episode kwam voor het eerst naar voren in mei 2021, toen de beheerde serviceprovider van DDC via geautomatiseerde melding contact opnam om het bedrijf te informeren over ongebruikelijke activiteit op zijn netwerk. Helaas heeft DDC niet veel met deze informatie gedaan. In plaats daarvan wachtte hij enkele maanden voordat MSP weer contact met hem opnam, dit keer om hem te informeren dat er nu bewijs was van Cobalt Strike op zijn netwerk.
Kobalt staking is een populaire tool voor penetratietesten die vaak: gecoöpteerd: door criminelen om reeds gecompromitteerde netwerken verder binnen te dringen. Het onverwacht op uw netwerk vinden is nooit een goed teken. Tegen de tijd dat DDC officieel reageerde op waarschuwingen van zijn MSP, was een hacker erin geslaagd gegevens te stelen van 2,1 miljoen mensen die genetisch getest waren in de VS, waaronder de burgerservicenummers van 45.000 klanten in Ohio en Pennsylvania.
Het register: rapporten: dat de gestolen gegevens deel uitmaakten van een “legacy-database” die DDC jaren geleden had verzameld, en toen blijkbaar was vergeten dat het zo was. In 2012 kocht DDC een ander forensisch bedrijf, Orchid Cellmark, het verzamelen van bedrijfsdatabases met de verkoop. DDC beweerde later dat het niet wist dat de gegevens zelfs in zijn systemen stonden, en beweerde dat een eerdere inventarisatie van zijn digitale kluizen geen teken van de informatie aan het licht bracht. miljoenen mensen die vervolgens werd versterkt door de hacker.
G/O Media kan een commissie ontvangen
Kort nadat het nieuws over het datalek bekend werd, klaagden Ohio en Pennsylvania het bedrijf aan.
“Nalatigheid is geen excuus om consumentengegevens te laten stelen”, gezegd: Ohio procureur-generaal Dave Yost, van het incident. “We zijn er trots op samen te werken met Pennsylvania om ervoor te zorgen dat de persoonlijke gegevens van burgers privé blijven, wat consumenten terecht verwachten.”
“Hoe meer deze criminelen toegang hebben tot persoonlijke informatie, hoe kwetsbaarder de persoon van wie de informatie is gestolen, wordt.” gezegd: Waarnemend procureur-generaal van Pennsylvania Michelle A. Henry. “Daarom ondernam mijn kantoor actie met de hulp van procureur-generaal Yost in Ohio.”
Als gevolg van recente regelgeving zal DCC worden verplicht om bepaalde basisbeschermingen te nemen. Dit omvat het inhuren van een: Professionele CISO: om toezicht te houden op zijn informatiebeveiligingsprogramma, af en toe beveiligingsrisicobeoordelingen van zijn netwerk uit te voeren, een up-to-date te houden activa inventaris:het ontwerpen en implementeren van “redelijke beveiligingsmaatregelen” om zijn gegevens te beschermen en het ontwikkelen van een plan om met redelijke middelen te reageren op “verdachte netwerkactiviteit binnen zijn netwerk”, allemaal vrij basale dingen die de meeste bedrijven zouden moeten doen.
0 Comments