Ο γίγαντας του αμερικανικού υπαλλήλου DISA λέει ότι οι χάκερ έχουν πρόσβαση σε δεδομένα περισσότερων από 3 εκατομμυρίων ατόμων

Η DISA Global Solutions, ένας πάροχος υπηρεσιών ελέγχου των εργαζομένων, δήλωσε ότι υπέστη παραβίαση δεδομένων που επηρεάζει περισσότερα από 3,3 εκατομμύρια άτομα.

Η DISA, η οποία παρέχει υπηρεσίες όπως δοκιμές ναρκωτικών και αλκοόλ και ελέγχους ιστορικού σε περισσότερες από 55.000 επιχειρήσεις και το ένα τρίτο των εταιρειών Fortune 500, επιβεβαίωσε την παραβίαση των δεδομένων σε μια κατάθεση με τον Γενικό Εισαγγελέα της Maine τη Δευτέρα.

Η Disa δήλωσε ότι ανακάλυψε ότι υπήρξε θύμα ενός «περιστατικού στον κυβερνοχώρο» που επηρέασε ένα «περιορισμένο τμήμα» του δικτύου της στις 22 Απριλίου 2024. Μια εσωτερική έρευνα διαπίστωσε ότι ένας χάκερ είχε διεισδύσει στο δίκτυο της εταιρείας στις 9 Φεβρουαρίου 2024 Πήγαν απαρατήρητα για πάνω από δύο μήνες.

Σε μια επιστολή που αποστέλλεται σε όσους πλήττονται από την παραβίαση των δεδομένων, η οποία περιλαμβάνει άτομα που υποβλήθηκαν σε δοκιμές ελέγχου των εργαζομένων, η DISA δήλωσε ότι ο επιτιθέμενος “προμηθεύτηκε κάποιες πληροφορίες” από τα συστήματά του.

Σε μια ξεχωριστή κατάθεση με τον Γενικό Εισαγγελέα της Μασαχουσέτης, η DISA επιβεβαίωσε ότι οι κλοπές πληροφορίες περιελάμβαναν τους αριθμούς κοινωνικής ασφάλισης των ατόμων, τις πληροφορίες οικονομικών λογαριασμών, συμπεριλαμβανομένων των αριθμών πιστωτικών καρτών και των εγγράφων αναγνώρισης που εκδίδονται από την κυβέρνηση. Αυτή η κατάθεση επιβεβαίωσε ότι περισσότεροι από 360.000 κάτοικοι της Μασαχουσέτης επηρεάστηκαν από την παραβίαση.

Ωστόσο, στην επιστολή ειδοποίησης παραβίασης των δεδομένων της, η DISA δήλωσε ότι “δεν θα μπορούσε να συμπεράνει οριστικά τα συγκεκριμένα δεδομένα που προμηθεύονται”, υποδηλώνοντας ότι η εταιρεία δεν έχει τα τεχνικά μέσα, όπως τα αρχεία καταγραφής, για να ανιχνεύσει ακριβώς ποια εσωτερικά δεδομένα έχουν πρόσβαση ή εξοργισμένα.

Σύμφωνα με την ιστοσελίδα της, η DISA συλλέγει ένα ευρύ φάσμα προσωπικών και ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των λεπτομερειών σχετικά με το ιστορικό εργασίας ενός αιτούντος, το εκπαιδευτικό υπόβαθρο, το ποινικό μητρώο και το πιστωτικό ιστορικό.

Δεν είναι ακόμη γνωστό ποιος ήταν πίσω από το cyberattack ή πώς ο οργανισμός ήταν συμβιβασμένος. Είναι επίσης ασαφές γιατί έχει πάρει το DISA τόσο πολύ για να ειδοποιήσει τα προσβεβλημένα άτομα για την παραβίαση.

Η DISA δεν απάντησε αμέσως στις ερωτήσεις της TechCrunch.