Une importante société de tests ADN a réglé une paire de poursuites avec les procureurs généraux de Pennsylvanie et de l’Ohio après un épisode de 2021 qui a vu les cybercriminels voler des données sur 2,1 millions de personnes, y compris les numéros de sécurité sociale de 45 000 clients des deux États. À la suite des poursuites, la société en question, DNA Diagnostics Center (ou DDC), devra verser un montant cumulé de 400 000 $ aux deux gouvernements. et a également accepté de renforcer ses pratiques de sécurité numérique. La société a déclaré qu’elle ne savait même pas qu’elle détenait les données volées, car elles étaient stockées dans une ancienne base de données.
Sur son site InternetDDC se qualifie de « leader mondial des tests ADN privés » et se vante de l’affiliation de son directeur de laboratoire à un certain nombre d’affaires criminelles très médiatisées, y compris le Procès d’OJ Simpson et Anna Nicole Smith cas de paternité. La société affirme également qu’elle est la « principale source des médias pour les réponses aux questions sur les tests ADN » et qu’elle est considérée comme le « premier laboratoire pour effectuer des tests ADN pour les émissions de télévision et les programmes de radio ». Bien que tout cela puisse sembler très impressionnant, il y a certainement une chose dont DDC n’est pas le « leader mondial » dans les pratiques de cybersécurité. Avant les récents procès, il ne semble pas vraiment que l’entreprise en ait eu.
Les preuves de l’épisode de piratage sont apparues pour la première fois en mai 2021, lorsque le fournisseur de services gérés de DDC a contacté via une notification automatisée pour informer l’entreprise d’une activité inhabituelle sur son réseau. Malheureusement, DDC n’a pas fait grand-chose avec ces informations. Au lieu de cela, il a attendu plusieurs mois avant que le MSP ne le contacte à nouveau, cette fois pour l’informer qu’il y avait maintenant des preuves de Cobalt Strike sur son réseau.
Frappe de cobalt est un outil de test d’intrusion populaire qui a souvent été coopté par des criminels pour pénétrer davantage des réseaux déjà compromis. Le trouver de manière inattendue sur votre réseau n’est jamais bon signe. Au moment où DDC a officiellement répondu aux avertissements de son MSP, un pirate informatique avait réussi à voler des données liées à 2,1 millions de personnes qui avaient été génétiquement testées aux États-Unis, y compris les numéros de sécurité sociale de 45 000 clients de l’Ohio et de la Pennsylvanie.
Le registre rapports que les données volées faisaient partie d’une « base de données héritée » que DDC avait amassée il y a des années, puis avait apparemment oublié qu’elle l’avait fait. En 2012, DDC avait acheté une autre société médico-légale, Orchid Cellmark, accumuler les bases de données de l’entreprise avec la vente. DDC a par la suite affirmé qu’il ignorait que les données se trouvaient même dans ses systèmes, alléguant qu’un inventaire préalable de ses coffres-forts numériques n’avait révélé aucun signe des informations de des millions de personnes qui a ensuite été amplifié par le pirate informatique.
G/O Media peut toucher une commission
Peu de temps après l’annonce de la violation de données, l’Ohio et la Pennsylvanie ont poursuivi la société.
« La négligence n’est pas une excuse pour laisser les données des consommateurs se faire voler », a dit Le procureur général de l’Ohio Dave Yost, de l’incident. « Nous sommes fiers de nous associer à la Pennsylvanie pour garantir que les données personnelles des citoyens restent privées, ce que les consommateurs attendent à juste titre. »
« Plus ces criminels ont accès à des informations personnelles, plus la personne dont les informations ont été volées devient vulnérable », a dit Procureur général par intérim de Pennsylvanie Michelle A. Henry. « C’est pourquoi mon bureau a pris des mesures avec l’aide du procureur général Yost dans l’Ohio. »
À la suite des récents règlements, CDC sera obligée d’adopter certaines protections de base. Cela comprend l’embauche d’un RSSI professionnel pour superviser son programme de sécurité de l’information, en procédant occasionnellement à des évaluations des risques de sécurité de son réseau, en maintenant une mise à jour inventaire des actifsen concevant et en mettant en œuvre des « mesures de sécurité raisonnables » pour protéger ses données et en élaborant un plan pour répondre à « une activité réseau suspecte au sein de son réseau avec des moyens raisonnables », toutes des choses assez basiques que la plupart des entreprises devraient faire.
GIPHY App Key not set. Please check settings