บริษัทที่เชี่ยวชาญด้านการตรวจ DNA ถูกแฮ็ก ในระหว่างการโจมตี แฮกเกอร์ได้ขโมยข้อมูลที่เกี่ยวข้องกับจีโนมของบุคคลจำนวน 2.1 ล้านคน ทั้งหมดเป็นเพราะความประมาทเลินเล่อของบริษัทในเรื่องความปลอดภัยด้านไอที...
ศูนย์วินิจฉัยดีเอ็นเอ (DDC)บริษัทอเมริกันที่เชี่ยวชาญด้านการตรวจ DNA และความเป็นพ่อ ตกเป็นเหยื่อของการโจมตีทางคอมพิวเตอร์ในปี 2021 ไม่นานก่อนเดือนพฤษภาคม ซอฟต์แวร์ที่เรียกว่าโคบอลต์สไตรค์เห็นได้ชัดว่าสามารถเจาะเครือข่ายของบริษัทได้ ซอฟต์แวร์นี้ถูกใช้โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ เพื่อทดสอบโปรโตคอลหรือปรับใช้การจำลองสายลับ และโดยแฮกเกอร์ โทรจันถูกแย่งชิงโดยอาชญากร โดยสามารถดาวน์โหลดหรืออัพโหลดไฟล์ ดำเนินการคำสั่งตามอำเภอใจ และคงอยู่ในคอมพิวเตอร์ที่ติดไวรัสได้
การมีอยู่ของ Cobalt Strike ถูกตรวจพบโดยบริษัทที่รับผิดชอบในการตรวจสอบข้อมูลที่เก็บไว้โดย DNA Diagnostics Center ผู้ให้บริการได้ทันทีแจ้งให้ลูกค้าของเขาทราบกิจกรรมที่ผิดปกติบนเครือข่าย ด้วยเหตุผลที่ไม่ทราบสาเหตุ ศูนย์วินิจฉัย DNA จึงไม่ตอบสนองต่อคำเตือนของพันธมิตรในทันที
“ผู้รับเหมาพยายามแจ้ง DNA Diagnostics ทางอีเมลหลายครั้ง แต่พนักงานบริษัทละเลยอีเมลดังกล่าวมานานกว่าสองเดือน”เสียใจกับทางการอเมริกัน
อ่านเพิ่มเติม:การตรวจ DNA เพื่อความบันเทิงควรได้รับอนุญาตในฝรั่งเศสหรือไม่
ข้อมูลที่ละเอียดอ่อนถูกลืม
ต้องขอบคุณความประมาทเลินเล่อของบริษัท ทำให้แฮกเกอร์เข้าถึงฐานข้อมูลของกลุ่มระหว่างวันที่ 24 พฤษภาคม ถึง 28 กรกฎาคม 2021 แฮกเกอร์ได้ยึดข้อมูลที่เกี่ยวข้องกับDNA ของผู้คน 2.1 ล้านคนโดยการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยจำนวนมากในโครงสร้างพื้นฐาน
“เซิร์ฟเวอร์ห้าเครื่องถูกบุกรุกและมีการสำรองข้อมูล 28 ฐานข้อมูล และเซิร์ฟเวอร์ที่เลิกใช้งานแล้วหนึ่งเครื่องถูกใช้เพื่อ exfiltrate ข้อมูล”รายละเอียดการแถลงข่าวจากหน่วยงานรัฐบาลกลาง
ข้อมูลที่ละเอียดอ่อนนี้ได้รับผ่านบริษัทนิติเวชชื่อ Orchid Cellmark ซึ่งถูกซื้อโดย DNA Diagnostics Center ในปี 2012 จากการเปิดเผยของบริษัทในอเมริกา ข้อมูลนี้ได้รับข้อผิดพลาดระหว่างการได้มา- SDC ระบุว่าไม่เคยใช้ข้อมูล ในความเป็นจริง กลุ่มไม่ทราบด้วยซ้ำว่าข้อมูลถูกจัดเก็บไว้ในเซิร์ฟเวอร์ของตน... เพื่อพิสูจน์ตัวเอง ผู้เชี่ยวชาญด้านการทดสอบ DNA ตรวจสอบให้แน่ใจว่ารายการเอกสารที่เก็บถาวรก่อนหน้านี้ไม่ได้เปิดเผยการมีอยู่ของข้อมูล
เมื่อบริษัทที่อยู่ในโอไฮโอตัดสินใจดำเนินการในที่สุด มันก็สายเกินไปแล้ว แฮกเกอร์ดูดข้อมูลและเรียกร้องค่าไถ่ อาชญากรไซเบอร์ขอให้เจ้าหน้าที่ SDC จ่ายเงินจำนวนมากซึ่งยังไม่ทราบจำนวนเงินเพื่อแลกกับการลบข้อมูล- บริษัทตกลงที่จะจ่ายค่าไถ่ แฮกเกอร์อ้างว่าได้ลบข้อมูลที่ถูกขโมยทั้งหมดแล้ว
มีโทษปรับ 400,000 ดอลลาร์
การสอบสวนเริ่มขึ้นทันทีโดยอัยการสูงสุดของรัฐเพนซิลเวเนียและโอไฮโอ ด้วยการเพิกเฉยต่อคำเตือนของผู้ให้บริการ ศูนย์วินิจฉัย DNA จึงละเมิดกฎหมาย Health Insurance Portability and Accountability Act ผู้สืบสวนสรุป กฎหมายนี้ผ่านในปี 1996 และกำหนดข้อกำหนดด้านกฎระเบียบของรัฐบาลกลางเกี่ยวกับความปลอดภัยและการรักษาความลับของข้อมูลด้านสุขภาพ
ฐานข้อมูลที่ถูกขโมยประกอบด้วย DNA ของผู้คน 33,300 คนที่อาศัยอยู่ในเพนซิลเวเนีย และ 12,600 คนในโอไฮโอ นอกจากจีโนมแล้ว เรายังพบชื่อต่างๆ ด้วยหมายเลขประกันสังคมและข้อมูลการชำระเงินของลูกค้าทุกท่าน เห็นได้ชัดว่านี่เป็นข้อมูลที่ละเอียดอ่อนมาก ซึ่งเป็นอันตรายต่อบุคคลทุกคนที่เกี่ยวข้อง ข้อมูลนี้ทำให้สามารถจัดเตรียมได้ เช่นการโจมตีแบบฟิชชิ่งปรับแต่ง ส่วนใหญ่โปรแกรมป้องกันไวรัสที่ดีที่สุดสามารถระบุตัวตนได้
“ยิ่งข้อมูลส่วนบุคคลที่อาชญากรเหล่านี้เข้าถึงได้มากเท่าไร บุคคลที่ถูกขโมยข้อมูลก็จะยิ่งมีความเสี่ยงมากขึ้นเท่านั้น”อัยการสูงสุด Michelle A. Henry อธิบาย
ด้วยเหตุนี้ DNA Diagnostics Center จึงได้รับค่าปรับรวม 400,000 ดอลลาร์- ในรายละเอียด รัฐโอไฮโอและเพนซิลเวเนียเรียกร้องเงิน 200,000 ดอลลาร์จากบริษัท บริษัทซึ่งมีความภาคภูมิใจในการเป็นผู้นำระดับโลกด้านการทดสอบ DNA ได้ให้คำมั่นที่จะเสริมสร้างแนวทางปฏิบัติด้านความปลอดภัยด้านไอที การประเมินความเสี่ยง การเก็บถาวรรายการใหม่และการอัปเดตอยู่ในวาระการประชุม
นี่ไม่ใช่ครั้งแรกที่มีการค้นพบ DNA ของผู้คนหลายล้านคนบนเว็บ ในปี 2018 บริษัทชื่อ MyHeritage DNA มีข้อมูลสูญหายของผู้ใช้ 92 ล้านคนในระหว่างที่มีการรั่วไหล
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : วารสาร HIPAA
