DNA診斷中心(DDC)一家專門從事 DNA 和親子鑑定的美國公司,成為 2021 年電腦攻擊的受害者。鈷擊顯然成功滲透了該公司的網路。該軟體既可供網路安全專家測試協定或部署間諜模擬,也可供駭客使用。該木馬被犯罪分子劫持後,能夠下載或上傳檔案、執行任意命令並持續存在於受感染的電腦上。
Cobalt Strike 的存在是由一家負責監測 DNA 診斷中心數據的公司檢測到的。服務商及時通知他的客戶網路上的異常活動。由於未知原因,DNA診斷中心沒有立即對其合作夥伴的警告做出反應。
“承包商多次嘗試透過電子郵件通知 DNA Diagnostics,但公司員工在兩個多月的時間裡都忽視了這些電子郵件”,對美國當局表示遺憾。
另請閱讀:法國是否應該授權娛樂性 DNA 檢測?
敏感資料被遺忘
由於該公司的疏忽,駭客在2021年5月24日至7月28日期間訪問了該組織的資料庫。210萬人的DNA,透過利用基礎設施中的眾多安全漏洞。
“五台伺服器遭到入侵,其中包含 28 個資料庫的備份,一台已退役的伺服器被用來竊取資料”,詳細介紹了聯邦當局的新聞稿。
這些敏感資訊是透過一家名為 Orchid Cellmark 的法醫公司獲得的,該公司於 2012 年被 DNA 診斷中心收購。獲取過程中收到錯誤。 SDC 指出它從未使用過該資料。事實上,該組織甚至不知道這些資訊儲存在其伺服器上……為了證明自己的合理性,DNA 測試專家確保其檔案的先前清單並未洩露這些資料的存在。
當這家總部位於俄亥俄州的公司最終決定採取行動時,為時已晚。駭客竊取了資料並索取贖金。網路犯罪分子要求 SDC 官員支付巨額資金(具體金額尚不清楚),以換取資料刪除。該公司同意支付贖金。駭客聲稱已刪除所有被盜資料。
罰款40萬美元
賓州和俄亥俄州總檢察長立即展開調查。調查人員得出結論,DNA 診斷中心無視提供者的警告,違反了《健康保險流通與責任法》。該法於 1996 年通過,制定了有關健康資料安全性和保密性的聯邦監管要求。
被盜的資料庫包含居住在賓州的 33,300 人和居住在俄亥俄州的 12,600 人的 DNA。除了基因組之外,我們還發現了名字,社會安全號碼以及所有客戶的付款資訊。這顯然是非常敏感的訊息,危及所有相關個人。例如,這些數據使得編排成為可能網路釣魚攻擊量身訂製。大部分最好的防毒軟體能夠識別他們。
“這些犯罪分子獲取的個人資訊越多,資訊被盜者就越容易受到攻擊””,司法部長米歇爾·亨利 (Michelle A. Henry) 解釋道。
這就是DNA診斷中心獲得總計罰款$400,000。具體來說,俄亥俄州和賓州向該公司索取 20 萬美元。該公司以作為 DNA 測試領域的全球領導者而自豪,並承諾加強其 IT 安全實踐。風險評估、新的檔案庫存和更新已提上日程。
這並不是第一次在網路上發現數百萬人的 DNA。 2018 年,一家名為 MyHeritage DNA 的公司9,200 萬用戶資料遺失洩漏期間。
來源 : 健康保險流通與責任法案雜誌
