在2024年2月9日遭受大量數據洩露的一年後,上週,總部位於德克薩斯州休斯頓的DISA Global Solutions(僱員篩查,合規性和針對各個行業的企業安全解決方案的提供商)開始通知受影響的個人違規行為。 DISA通過Experian提供12個月的免費信用監控服務,以減輕與其個人身份信息妥協相關的潛在風險(PII)。
該數據洩露尚未發現,直到2024年4月22日,估計的PII估計有3,332,750人。在此期間,暴露了敏感數據,包括社會保險號,財務帳戶詳細信息和政府發行的身份證文件。
發現違規後,DISA表示,它迅速開始了內部調查,並與第三方法醫專家訂婚,以評估入侵的程度。為了回應其內部調查,DISA說,上週2月21日開始通知受影響的人。這些信件為受害者提供了屬於他們的信息的列表。
在注意該公司在其網站上表示:“這些文件中包含的個人信息可能包括名稱,社會保險號,駕駛執照號碼,其他政府ID號,財務帳戶信息和其他數據元素。” Disa補充說:“並非每個人都存在每個數據元素。”
DISA說:“儘管我們的取證調查無法確定地結論所採購的具體信息,但受影響的文件包含個人的個人信息,由於僱傭服務服務,我們為雇主和潛在的雇主提供了我們的個人信息。”
DISA表示,“沒有意識到對本事件中涉及的任何信息的任何嘗試或實際濫用。”
2月21日是公司提交的同一天數據洩露通知與緬因州的總檢察長。在通知中,DISA解釋說,該事件導致一個未經授權的一方能夠訪問消費者的敏感信息。 DISA表示,它包含了這一事件,並在第三方網絡安全專家的幫助下進行了調查。通過這項調查,DISA確認未經授權的一方在2024年2月9日至2024年4月22日之間訪問了其IT網絡,其中包括包含機密消費者信息的文件。完成調查後,DISA表示,它開始向所有受數據安全事件影響的個人發送數據洩露通知信。
由於DISA服務的性質,違規行為引起了人們的關注,其中涉及處理廣泛的敏感個人數據以進行背景調查,藥物測試和整個行業的合規解決方案。此後,該公司採取了增強的安全措施以防止未來事件,並已通知執法部門以協助調查。截至目前,肇事者的身份和系統妥協的確切方法仍然沒有公開。
鑑於這一事件,建議受影響的人通過監視其財務帳戶和個人信息以確保保持警惕。參加信用監控服務並定期審查信用報告可以幫助檢測並防止因違規而導致的潛在身份盜用或財務欺詐。
網絡安全公司首席信託官吉姆·魯斯(Jim Routh)說:“這一網絡事件的兩個維度是顯著的。”。 “首先是SSN被個人淘汰,這些SSN很容易被威脅參與者獲利。為任何目的存儲SSN應需要更高的安全性,並使用SSN識別數字消費者是一種過時的數據管理實踐。”
魯斯說:“第二個維度是未提供違規的根本原因,因此尚不清楚DISA採取了哪些步驟來減少這種情況再次發生的可能性。” “在所有企業中發生網絡事件,因此缺少基於先前違規的學習的機會對控制和過程進行調整的機會,這表明網絡彈性和積極的指標。在這種情況下,沒有網絡彈性的跡象。”
最初入侵後將近一年的一年後,DISA全球解決方案的延遲通知了受影響的個人有關數據洩露的問題。延誤大大比許多其他備受矚目的違規行為要長,這引起了人們對影響個人是否有足夠時間採取預防措施(例如信用監控和身份盜竊保護)的擔憂。到本月開始通知開始時,有些人可能已經面臨欺詐風險,而沒有意識到其妥協信息的來源。
“檢測和報告違規行為的延遲提出了有關DISA採用的正在進行的監測和事件響應策略的緊迫問題。除了監管的影響之外,緩慢的認可和緩解可能會侵蝕非常信任的迪亞(Disa)試圖與其合作夥伴及其篩查的個人建立。”Knowbe4。 “在必要時提供身份盜用保護服務雖然是一種反應措施。對於組織,尤其是那些處理大量個人數據的DISA的組織,必須採取更積極的網絡安全立場。這包括持續監控,採用先進的威脅檢測技術,並在整個組織中培養一種安全意識文化。”
馬利克補充說:“隨著調查的展開,對於DISA及其利益相關者來說,徹底了解攻擊者如何避免其防禦能力並採取強大的措施以防止未來事件至關重要。”
已經提出了一些針對DISA的集體訴訟,全國各地的律師事務所正在積極向客戶求婚。該公司已經對數十名工人的指控面臨訴訟,該指控是,為企業進行的毒品篩查測試返回了誤報,導致一些工人被解僱。
文章主題
||||||||
