Amerykańska firma DISA zajmująca się kontrolą pracowników padła ofiarą naruszenia danych, które dotknęło ponad 3,3 miliona osób

DISA Global Solutions, amerykańska firma świadcząca usługi weryfikacji pracowników, poinformowała, że ​​padła ofiarą ataku hakerów, w wyniku którego zagrożone stały się dane osobowe 3,3 miliona osób.

Podczas gdy DISA poinformowała prokuratora generalnego Maine o naruszeniu danych wczoraj (dzięki, TechCrunch ) i zgłosiła włamanie do Biura ds. Konsumentów i Regulacji Biznesowych Massachusetts wcześniej, 22 lutego, atak rozpoczął się ponad rok temu, 9 lutego 2024 r. Niezidentyfikowany haker uzyskał dostęp do sieci DISA przez dwa miesiące, zanim firma to zauważyła 22 kwietnia 2024 r. Jednak rzekomo „nie ma dowodów na rzeczywiste lub usiłowane niewłaściwe wykorzystanie” danych osobowych.

W przykładowym liście z powiadomieniem wysłanym do osób dotkniętych atakiem hakerskim DISA twierdziła, że ​​„nie mogła ostatecznie stwierdzić, jakie konkretne dane uzyskano”, nawet po dochodzeniu z pomocą osób trzecich. Jednak w aktach Massachusetts wymieniono, do czego uzyskali dostęp atakujący: numery ubezpieczenia społecznego, konta finansowe, prawa jazdy oraz numery kredytowe i debetowe. DISA nie udostępniła innych szczegółów dotyczących ataku.

DISA obsługuje ponad 55 000 klientów, w tym 30 procent firm z listy Fortune 500. Firma oferuje kontrole narkotykowe, alkoholowe i przeszłości. Pozwala to na zbieranie poufnych informacji, co czyni ją głównym celem cyberprzestępców.

Nie wiadomo, dlaczego DISA potrzebowała prawie roku, aby powiadomić kogokolwiek, zwłaszcza że kontrola pracowników jest branżą wysoce wrażliwą. Osoby dotknięte problemem mogą zapisać się na 12 miesięcy monitorowania zdolności kredytowej i usług przywracania tożsamości, co jest częstym aktem przeprosin, jaki firmy często stosują po incydencie cyberbezpieczeństwa.