DNA诊断中心(DDC)一家专门从事 DNA 和亲子鉴定的美国公司,成为 2021 年计算机攻击的受害者。5 月前不久,名为钴击显然成功渗透了该公司的网络。该软件既可供网络安全专家测试协议或部署间谍模拟,也可供黑客使用。该木马被犯罪分子劫持后,能够下载或上传文件、执行任意命令并持续存在于受感染的计算机上。
Cobalt Strike 的存在是由一家负责监测 DNA 诊断中心数据的公司检测到的。服务商及时通知他的客户网络上的异常活动。由于未知原因,DNA诊断中心没有立即对其合作伙伴的警告做出反应。
“承包商多次尝试通过电子邮件通知 DNA Diagnostics,但公司员工在两个多月的时间里都忽视了这些电子邮件”,对美国当局表示遗憾。
另请阅读:法国是否应该授权娱乐性 DNA 检测?
敏感数据被遗忘
由于该公司的疏忽,黑客在2021年5月24日至7月28日期间访问了该组织的数据库。黑客窃取了有关210万人的DNA,通过利用基础设施中的众多安全漏洞。
“五台服务器遭到入侵,其中包含 28 个数据库的备份,一台已退役的服务器被用来窃取数据”,详细介绍了联邦当局的新闻稿。
这些敏感信息是通过一家名为 Orchid Cellmark 的法医公司获得的,该公司于 2012 年被 DNA 诊断中心收购。该美国公司承认,这些数据是由 DNA 诊断中心收购的。获取过程中收到错误。 SDC 指出它从未使用过该数据。事实上,该组织甚至不知道这些信息存储在其服务器上……为了证明自己的合理性,DNA 测试专家确保其档案的先前清单并未泄露这些数据的存在。
当这家总部位于俄亥俄州的公司最终决定采取行动时,为时已晚。黑客窃取了数据并索要赎金。网络犯罪分子要求 SDC 官员支付巨额资金(具体金额尚不清楚),以换取数据删除。该公司同意支付赎金。黑客声称已删除所有被盗数据。
罚款40万美元
宾夕法尼亚州和俄亥俄州总检察长立即展开调查。调查人员得出结论,DNA 诊断中心无视提供商的警告,违反了《健康保险流通与责任法》。该法律于 1996 年通过,制定了有关健康数据安全性和保密性的联邦监管要求。
被盗的数据库包含居住在宾夕法尼亚州的 33,300 人和居住在俄亥俄州的 12,600 人的 DNA。除了基因组之外,我们还发现了名字,社会安全号码以及所有客户的付款信息。这显然是非常敏感的信息,危及所有相关个人。例如,这些数据使得编排成为可能网络钓鱼攻击量身定制。大部分最好的防病毒软件能够识别他们。
“这些犯罪分子获取的个人信息越多,信息被盗者就越容易受到攻击””,司法部长米歇尔·亨利 (Michelle A. Henry) 解释道。
这就是DNA诊断中心获得总计罚款$400,000。具体来说,俄亥俄州和宾夕法尼亚州向该公司索要 20 万美元。该公司以作为 DNA 测试领域的全球领导者而自豪,并承诺加强其 IT 安全实践。风险评估、新的档案库存和更新已提上日程。
这并不是第一次在网络上发现数百万人的 DNA。 2018 年,一家名为 MyHeritage DNA 的公司9200 万用户数据丢失泄漏期间。
来源 : 健康保险流通与责任法案杂志
