2024 年 2 月 9 日遭遇重大数据泄露一年后,位于德克萨斯州休斯顿的 DISA Global Solutions(一家为各行业企业提供员工筛查、合规和安全解决方案的提供商)上周开始向受影响的个人通报此次泄露事件。 DISA 通过 Experian 提供 12 个月的免费信用监控服务,以减轻与个人身份信息 (PII) 泄露相关的潜在风险。
此次数据泄露直到 2024 年 4 月 22 日才被发现,估计有 3,332,750 人的 PII 被泄露。在此期间,敏感数据——包括社会安全号码、金融账户详细信息和政府颁发的身份证件——被曝光。
DISA 表示,发现这一漏洞后,它立即启动了内部调查,并聘请了第三方取证专家来评估入侵的程度。 DISA 在回应其内部调查时表示,它于上周 2 月 21 日开始通知受影响的个人。这些信件向受害者提供了一份属于他们的信息遭到泄露的列表。
在一个注意该公司在其网站上表示,“这些文件中包含的个人信息可能包括姓名、社会安全号码、驾驶执照号码、其他政府身份证号码、财务账户信息和其他数据元素。” DISA 补充说,“并不是每个人的每个数据元素都存在。”
DISA 表示,“虽然我们的取证调查无法明确得出所获取的具体信息,但受影响的文件包含个人的个人信息,这些信息是我们通过向雇主和潜在雇主提供的就业筛选服务而掌握的。”
DISA 表示,“不知道有任何人试图或实际滥用与此事件相关的任何信息。”
2月21日是该公司提交申请的同一天数据泄露通知与缅因州总检察长。 DISA 在通知中解释说,该事件导致未经授权的一方能够访问消费者的敏感信息。 DISA 表示已控制住该事件,并在第三方网络安全专家的帮助下展开调查。通过此次调查,DISA 确认未经授权的一方在 2024 年 2 月 9 日至 2024 年 4 月 22 日期间访问了其 IT 网络,其中包括包含机密消费者信息的文件。调查完成后,DISA 表示,它开始向所有信息受到数据安全事件影响的个人发送数据泄露通知信。
由于迪砂服务的性质,涉及处理广泛的敏感个人数据,以用于各行业的背景调查、药物测试和合规解决方案,此次泄露事件引起了人们的关注。此后,该公司采取了强化的安全措施,以防止再次发生此类事件,并已通知执法部门协助调查。截至目前,肇事者的身份和系统入侵的具体方法仍未公开。
鉴于此事件,建议受影响的个人保持警惕,监控其财务账户和个人信息是否有任何滥用迹象。加入信用监控服务并定期审查信用报告可以帮助检测和防止因违规行为而导致的潜在身份盗窃或财务欺诈。
网络安全公司首席信托官 Jim Routh 表示:“此次网络事件有两个方面值得注意”。 “首先,SSN 被泄露给个人,这些很容易被威胁者货币化。出于任何目的存储 SSN 都需要更高级别的安全性,而使用 SSN 来识别数字消费者是一种过时的数据管理实践。”
“第二个方面是没有提供泄露的根本原因,因此尚不清楚 DISA 采取了哪些措施来降低这种情况再次发生的可能性,”劳斯说。 “所有企业都会发生网络事件,因此错过了根据以前的违规事件中的经验教训来调整控制和流程的机会,这是网络弹性的一个迹象,也是一个积极的指标。在这种情况下,没有任何网络弹性的迹象。”
在最初的入侵发生近一年后,迪砂全球解决方案仍未向受影响的个人通知数据泄露事件,这也引发了人们的担忧。此次延迟时间明显长于许多其他备受瞩目的违规事件,这引发了人们对受影响个人是否有足够时间采取信用监控和身份盗用保护等预防措施的担忧。截至本月通知开始时,一些个人可能已经面临欺诈风险,但没有意识到其受损信息的来源。
“检测和报告违规行为的延迟引发了对 DISA 所采用的持续监控和事件响应策略的紧迫问题。除了监管影响之外,缓慢的确认和缓解可能会削弱 DISA 试图与其合作伙伴及其筛选的个人建立的信任,”首席安全意识倡导者 Javvad Malik 表示。知道Be4。 “在数据泄露后提供身份盗用保护服务虽然是必要的,但只是一种被动措施。对于组织来说,尤其是像 DISA 这样处理大量个人数据的组织,必须在网络安全方面采取更积极主动的立场。这包括持续监控、采用先进的威胁检测技术以及在整个组织内培养安全意识文化。”
马利克补充道:“随着调查的展开,DISA 及其利益相关者必须彻底了解攻击者如何规避其防御,并采取强有力的措施来防止未来发生此类事件。”
已经针对 DISA 提起了几起集体诉讼,全国各地的律师事务所都在积极争取客户。该公司已经面临诉讼,数十名员工指控 DISA 为企业进行的药物筛查测试结果出现误报,导致部分员工被解雇。
文章主题
||||||||
