Önde gelen bir DNA test şirketi olan DNA Diagnostics Center, yıllar önce aldığı başka bir şirketten devraldığı müşteri verilerini korumayı başaramadı.
Ohio merkezli özel bir DNA test şirketi olan DNA Diagnostics Center (DDC), geçen hafta Ohio ve Pennsylvania eyalet başsavcıları ile 45.000 sakinin kişisel bilgilerinin çalınmasına neden olan 2021 ihlaliyle ilgili bir uzlaşma anlaşmasına vardı. Genel olarak saldırı, ABD genelinde genetik testlerden geçmiş 2,1 milyondan fazla müşteriyi tehlikeye attı.
Şirket, Ohio ve Pennsylvania için toplam 400.000 $ para cezası ödeyecek ve bilgi güvenliğini sıkılaştırma sözü verdi.
2021 ihlalinde ne oldu?
DDC, 2012’deki ticari genişlemesinin bir parçası olarak yine DNA testi endüstrisinde faaliyet gösteren bir İngiliz şirketi olan Orchid Cellmark’ı satın aldığında, şirket kişisel olarak tanımlanabilir bilgileri (PII) düz metin biçiminde tutan eski veritabanlarını da devraldığını bilmiyordu. Mahkeme belgelerine göre, “Hassas kişisel bilgiler içeren İhlalden etkilenen veritabanları, onun bilgisi olmadan yanlışlıkla DDC’ye aktarıldı. Ayrıca DDC, İhlal sırasında bu eski veritabanlarının sistemlerinde var olduğunun farkında olmadığını iddia ediyor; satın alma işleminden dokuz yıl sonra.”
DDC, sistemlerinde hem envanter değerlendirmesi hem de sızma testi gerçekleştirdiğini söyledi. Ancak kullanılmayan veritabanlarından habersiz olduğu için, değerlendirmeler yalnızca aktif müşteri verileri olanlara odaklandığından testlere dahil edilmedi.
Mayıs 2021’de, DDC’nin MSP’lerinden (yönetilen hizmet sağlayıcılar) biri, ağındaki şüpheli etkinlikler hakkında iki aylık bir süre boyunca otomatik uyarılar göndermeye başladı. Mahkeme belgeleri, DDC’nin neden uyarılara göre hareket etmediğini açıklamadı, ancak üç ay sonra aynı MSP, DDC’yi bu kez ağındaki Cobalt Strike kötü amaçlı yazılım etkinliği hakkında tekrar bilgilendirdi. Bu, şirketin olay müdahale planını tetikledi.
Soruşturmaya göre, bir saldırgan, güvenliği ihlal edilmiş bir çalışan hesabı kullanarak yenisine geçmeden önce DDC’nin kullandığı eski VPN’de (sanal özel ağ) oturum açtı. Bu hesabın nasıl olup da saldırganın eline geçtiği bilinmiyor, ancak saldırganlar, kullanıcılar için güvenlik kimlik doğrulaması sağlayan bir sunucu olan bir etki alanı denetleyicisinden Active Directory (AD) kimlik bilgilerini toplamayı başardılar. Haftalar sonra saldırgan, artık güvenliği ihlal edilmiş ortamda kalıcılık sağlamak için yönetici ayrıcalıklarına sahip bir test hesabı kullandı. Daha sonra Cobalt Strike’ı serbest bıraktılar.
Sonraki haftalarda saldırgan beş sunucuya erişti ve 28 veritabanını kopyaladı. Daha sonra, hizmet dışı bırakılmış bir sunucu kullanarak DDC’den veri sızdırdılar. Son olarak, Eylül ayında, saldırgan, sahip oldukları tüm veriler için zorla ödeme almak üzere DDC ile temasa geçti. Şirket, kopyalanan tüm verilerin silinmesi için ödeme yaptı.
Saldırıyı hiçbir tehdit grubu sahiplenmedi.
Commonwealth, DDC’nin “müşterilerinin kişisel bilgilerinin korunmasıyla ilgili olarak müşteriye dönük gizlilik politikasında önemli yanlış beyanlarda bulunarak aldatıcı veya haksız ticari uygulamalar” yapmasına karşı çıktı. Bunun kanıtı, DDC’nin Gizlilik Politikasında, şirketin müşterilerinin bilgilerini korumayı taahhüt ettiğini belirten beyanları “yayması veya yaymasına neden olması” idi. Yine de Commonwealth, “bilgisayar ağına yetkisiz erişimi tespit etmek ve engellemek için makul önlemler almadığını” ve bunun Pennsylvanialıların verilerinin tehlikeye atılmasına yol açtığını iddia ediyor.
Ohio Başsavcısı Dave Yost yaptığı açıklamada, “İhmal, tüketici verilerinin çalınmasına izin vermek için bir mazeret değildir” dedi. Başsavcı Vekili Michelle Henry, “Bu suçlular ne kadar çok kişisel bilgiye erişirse, bilgileri çalınan kişi o kadar savunmasız hale gelir” dedi.
yerleşim şartları
DDA’nın, kullanıcı verilerini korumak için “makul şekilde tasarlanmış” bir bilgi güvenliği programı geliştirmesi gerekir. Programı denetlemek için uygun kimlik bilgilerine ve uzmanlığa sahip bir çalışan veya üçüncü taraf hizmet sağlayıcı atanmalıdır.
Şirkete ayrıca, hassas müşteri verilerinin depolandığı ağlarında kapsamlı yıllık risk değerlendirmeleri yapması, bir varlık envanteri tutması, bir olay müdahale planı oluşturması ve uygulaması ve iş amaçları için kullanılmayan veya gerekli olmayan varlıkları kaldırması talimatı verildi.
Son olarak, DDA, depoladığı kişisel verilerin genel olarak korunması için, yazılımı düzenli olarak güncellemek, kullanıcı erişimini kontrol etmek (iki faktörlü kimlik doğrulama kullanımı gibi), ağ penetrasyon testi yapmak, ağı bölümlere ayırmak ve sürdürmek dahil olmak üzere güvenlik önlemleri oluşturmalı ve uygulamalıdır. diğerleri arasında merkezi bir günlük yönetim sistemi.
Infosec programı 180 gün (altı ay) içinde geliştirilmeli ve uygulanmalıdır.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.