نسي مركز تشخيص الحمض النووي بيانات العملاء ، وتم تسريبها
قامت شركة بارزة لاختبار الحمض النووي بتسوية دعاوى قضائية مع المدعي العام في بنسلفانيا وأوهايو بعد حلقة 2021 التي شهدت مجرمي الإنترنت يسرق بيانات عن 2.1 مليون شخص ، بما في ذلك أرقام الضمان الاجتماعي لـ 45000 عميل من كلا الولايتين. نتيجة للدعاوى القضائية ، سيتعين على الشركة المعنية ، مركز تشخيص الحمض النووي (أو DDC) ، دفع مبلغ تراكمي قدره 400 ألف دولار لكلتا الحكومتين. ووافقت أيضًا على تعزيز ممارساتها في مجال الأمن الرقمي. قالت الشركة إنها لا تعرف حتى أن لديها البيانات التي سُرقت لأنها مخزنة في قاعدة بيانات قديمة.
عليه موقع إلكترونيتطلق DDC على نفسها “الرائد العالمي في اختبار الحمض النووي الخاص” ، وتتباهى بانتماء مدير مختبرها إلى عدد من القضايا الجنائية البارزة ، بما في ذلك محاكمة OJ Simpson وآنا نيكول سميث قضية الأبوة. تدعي الشركة أيضًا أنها “المصدر الأساسي لوسائل الإعلام للحصول على إجابات لأسئلة اختبار الحمض النووي” وأنها تعتبر “المختبر الأول لإجراء اختبار الحمض النووي للبرامج التلفزيونية والبرامج الإذاعية”. في حين أن كل هذا قد يبدو مثيرًا للإعجاب ، إلا أن هناك شيئًا واحدًا لا يعتبر DDC “الرائد العالمي” في ممارسات الأمن السيبراني. قبل الدعاوى القضائية الأخيرة ، لا يبدو أن الشركة لديها أي منها.
ظهر الدليل على حلقة القرصنة لأول مرة في مايو من عام 2021 ، عندما تواصل مزود الخدمة المدارة لـ DDC عبر إشعار آلي لإبلاغ الشركة بالنشاط غير المعتاد على شبكتها. لسوء الحظ ، لم تفعل DDC الكثير بهذه المعلومات. بدلاً من ذلك ، انتظرت عدة أشهر قبل أن تتواصل MSP مرة أخرى – هذه المرة لإبلاغها بوجود دليل الآن على Cobalt Strike على شبكتها.
الكوبالت سترايك هي أداة اختبار اختراق شائعة تم استخدامها بشكل متكرر اختارت من قبل المجرمين لاختراق الشبكات التي تم اختراقها بالفعل. إن العثور عليها بشكل غير متوقع على شبكتك ليس علامة جيدة أبدًا. بحلول الوقت الذي استجابت فيه DDC رسميًا لتحذيرات MSP الخاصة بها ، تمكن أحد المتسللين من سرقة بيانات مرتبطة بـ 2.1 مليون شخص تم اختبارهم وراثيًا في الولايات المتحدة ، بما في ذلك أرقام الضمان الاجتماعي لـ 45000 عميل من كل من أوهايو وبنسلفانيا.
السجل التقارير أن البيانات المسروقة كانت جزءًا من “قاعدة البيانات القديمة” التي جمعتها DDC منذ سنوات ثم نسيتها على ما يبدو. في عام 2012 ، اشترت DDC شركة أخرى للطب الشرعي ، Orchid Cellmark ، تجميع قواعد بيانات الشركة مع البيع. زعمت DDC لاحقًا أنها لم تكن على علم بأن البيانات كانت موجودة حتى في أنظمتها ، زاعمة أن جردًا سابقًا لخزائنها الرقمية لم يظهر أي علامة على معلومات ملايين البشر التي عززها المخترق لاحقًا.
قد تحصل G / O Media على عمولة
بعد وقت قصير من ظهور أنباء خرق البيانات ، رفعت أوهايو وبنسلفانيا دعوى قضائية على الشركة.
الإهمال ليس عذراً لترك بيانات المستهلك تُسرق. قال المدعي العام في ولاية أوهايو ديف يوست عن الحادث. “نحن فخورون بشراكتنا مع ولاية بنسلفانيا لضمان الحفاظ على خصوصية البيانات الشخصية للمواطنين – وهو ما يتوقعه المستهلكون بحق.”
“كلما زادت المعلومات الشخصية التي يحصل عليها هؤلاء المجرمون ، زاد ضعف الشخص الذي سُرقت معلوماته ،” قال بالنيابة العامة لولاية بنسلفانيا ميشيل أ. هنري. “لهذا السبب اتخذ مكتبي إجراءات بمساعدة المدعي العام يوست في أوهايو.”
نتيجة للمستوطنات الأخيرة ، ستضطر DCC إلى سن بعض تدابير الحماية الأساسية. وهذا يشمل توظيف أ المهنية CISO للإشراف على برنامج أمن المعلومات الخاص بها ، وإجراء تقييمات للمخاطر الأمنية من حين لآخر لشبكتها ، والحفاظ على تحديثها جرد الأصولتصميم وتنفيذ “إجراءات أمنية معقولة” لحماية بياناتها ، ووضع خطة للرد على “نشاط الشبكة المشبوه داخل شبكتها في حدود الوسائل المعقولة” – كل الأشياء الأساسية التي يجب على معظم الشركات القيام بها.