在2024年2月9日遭受大量数据泄露的一年后,上周,总部位于德克萨斯州休斯顿的DISA Global Solutions(雇员筛查,合规性和针对各个行业的企业安全解决方案的提供商)开始通知受影响的个人违规行为。 DISA通过Experian提供12个月的免费信用监控服务,以减轻与其个人身份信息妥协相关的潜在风险(PII)。
该数据泄露尚未发现,直到2024年4月22日,估计的PII估计有3,332,750人。在此期间,暴露了敏感数据,包括社会保险号,财务帐户详细信息和政府发行的身份证文件。
发现违规后,DISA表示,它迅速开始了内部调查,并与第三方法医专家订婚,以评估入侵的程度。为了回应其内部调查,DISA说,上周2月21日开始通知受影响的人。这些信件为受害者提供了属于他们的信息的列表。
在注意该公司在其网站上表示:“这些文件中包含的个人信息可能包括名称,社会保险号,驾驶执照号码,其他政府ID号,财务帐户信息和其他数据元素。” Disa补充说:“并非每个人都存在每个数据元素。”
DISA说:“尽管我们的取证调查无法确定地结论所采购的具体信息,但受影响的文件包含个人的个人信息,由于雇佣服务服务,我们为雇主和潜在的雇主提供了我们的个人信息。”
DISA表示,“没有意识到对本事件中涉及的任何信息的任何尝试或实际滥用。”
2月21日是公司提交的同一天数据泄露通知与缅因州的总检察长。在通知中,DISA解释说,该事件导致一个未经授权的一方能够访问消费者的敏感信息。 DISA表示,它包含了这一事件,并在第三方网络安全专家的帮助下进行了调查。通过这项调查,DISA确认未经授权的一方在2024年2月9日至2024年4月22日之间访问了其IT网络,其中包括包含机密消费者信息的文件。完成调查后,DISA表示,它开始向所有受数据安全事件影响的个人发送数据泄露通知信。
由于DISA服务的性质,违规行为引起了人们的关注,其中涉及处理广泛的敏感个人数据以进行背景调查,药物测试和整个行业的合规解决方案。此后,该公司采取了增强的安全措施以防止未来事件,并已通知执法部门以协助调查。截至目前,肇事者的身份和系统妥协的确切方法仍然没有公开。
鉴于这一事件,建议受影响的人通过监视其财务帐户和个人信息以确保保持警惕。参加信用监控服务并定期审查信用报告可以帮助检测并防止因违规而导致的潜在身份盗用或财务欺诈。
网络安全公司首席信托官吉姆·鲁斯(Jim Routh)说:“这一网络事件的两个维度是显着的。”。 “首先是SSN被个人淘汰,这些SSN很容易被威胁参与者获利。为任何目的存储SSN应需要更高的安全性,并使用SSN识别数字消费者是一种过时的数据管理实践。”
鲁斯说:“第二个维度是未提供违规的根本原因,因此尚不清楚DISA采取了哪些步骤来减少这种情况再次发生的可能性。” “在所有企业中发生网络事件,因此缺少基于先前违规的学习的机会对控制和过程进行调整的机会,这表明网络弹性和积极的指标。在这种情况下,没有网络弹性的迹象。”
最初入侵后将近一年的一年后,DISA全球解决方案的延迟通知了受影响的个人有关数据泄露的问题。延误大大比许多其他备受瞩目的违规行为要长,这引起了人们对影响个人是否有足够时间采取预防措施(例如信用监控和身份盗窃保护)的担忧。到本月开始通知开始时,有些人可能已经面临欺诈风险,而没有意识到其妥协信息的来源。
“检测和报告违规行为的延迟提出了有关DISA采用的正在进行的监测和事件响应策略的紧迫问题。除了监管的影响之外,缓慢的认可和缓解可能会侵蚀非常信任的迪亚(Disa)试图与其合作伙伴及其筛查的个人建立。”Knowbe4。 “在必要时提供身份盗用保护服务虽然是一种反应措施。对于组织,尤其是那些处理大量个人数据的DISA的组织,必须采取更积极的网络安全立场。这包括持续监控,采用先进的威胁检测技术,并在整个组织中培养一种安全意识文化。”
马利克补充说:“随着调查的展开,对于DISA及其利益相关者来说,彻底了解攻击者如何避免其防御能力并采取强大的措施以防止未来事件至关重要。”
已经提出了一些针对DISA的集体诉讼,全国各地的律师事务所正在积极向客户求婚。该公司已经对数十名工人的指控面临诉讼,该指控是,为企业进行的毒品筛查测试返回了误报,导致一些工人被解雇。
文章主题
||||||||
