Le géant américain du contrôle des employés DISA affirme que des pirates informatiques ont accédé aux données de plus de 3 millions de personnes
DISA Global Solutions, un fournisseur américain de services de sélection des employés, a déclaré avoir subi une violation de données affectant plus de 3,3 millions de personnes.
La DISA, qui fournit des services tels que des tests de dépistage de drogues et d'alcool et des vérifications d'antécédents à plus de 55 000 entreprises et à un tiers des sociétés Fortune 500, a confirmé la violation de données dans un dossier déposé auprès du procureur général du Maine lundi.
DISA a déclaré avoir découvert qu'elle avait été victime d'un « cyberincident » qui a affecté une « partie limitée » de son réseau le 22 avril 2024. Une enquête interne a déterminé qu'un pirate informatique s'était infiltré dans le réseau de l'entreprise le 9 février 2024, où il est passé inaperçu pendant plus de deux mois.
Dans une lettre envoyée aux personnes touchées par la violation de données, qui incluent des personnes ayant subi des tests de dépistage des employés, la DISA a déclaré que l'attaquant avait « obtenu certaines informations » à partir de ses systèmes.
Dans un dossier séparé déposé auprès du procureur général du Massachusetts, la DISA a confirmé que les informations volées comprenaient les numéros de sécurité sociale des individus, les informations sur les comptes financiers, y compris les numéros de carte de crédit, et les documents d'identité délivrés par le gouvernement. Ce dossier a confirmé que plus de 360 000 résidents du Massachusetts ont été touchés par la violation.
Cependant, dans sa lettre de notification de violation de données, DISA a déclaré qu'elle « ne pouvait pas conclure de manière définitive sur les données spécifiques obtenues », suggérant que l'entreprise ne dispose pas des moyens techniques, tels que les journaux, pour détecter exactement quelles données internes ont été consultées ou exfiltrées.
Selon son site Web , DISA collecte un large éventail d'informations personnelles et sensibles, notamment des détails sur les antécédents professionnels, la formation, le casier judiciaire et les antécédents de crédit d'un candidat.
On ne sait pas encore qui est à l'origine de la cyberattaque ni comment l'organisation a été compromise. On ignore également pourquoi la DISA a mis autant de temps à informer les personnes concernées de la violation.
DISA n'a pas immédiatement répondu aux questions de TechCrunch.
techcrunch
