Una destacada firma de pruebas de ADN ha resu elto un par de demandas con los fiscales generales de Pensilvania y Ohio. después de un episodio de 2021 que vio ciberdelincuentes robar datos de 2,1 millones de personas, incluidos los números de seguridad social de 45.000 clientes de ambos estados. Como resultado de las demandas, la empresa en cuestión, DNA Diagnostics Center (o DDC), tendrá que pagar $400,000 acumulativos a ambos gobiernos. y también acordó reforzar sus prácticas de seguridad digital. La compañía dijo que ni siquiera sabía que tenía los datos robados porque estaban almacenados en una base de datos antigua.
En sus sitio webDDC se llama a sí mismo el “líder mundial en pruebas privadas de ADN” y se jacta de la afiliación de su director de laboratorio con una serie de casos penales de alto perfil, incluido el Juicio de OJ Simpson y la Anna Nicole Smith caso de paternidad. La compañía también afirma que es la “fuente principal de los medios para obtener respuestas a las preguntas sobre pruebas de ADN” y que se considera el “laboratorio principal para realizar pruebas de ADN para programas de televisión y programas de radio”. Si bien todo eso puede sonar muy impresionante, definitivamente hay una cosa en la que DDC no es el “líder mundial”: prácticas de seguridad cibernética. Antes de las demandas recientes, no parece que la empresa tuviera ninguna.
La evidencia del episodio de piratería apareció por primera vez en mayo de 2021, cuando el proveedor de servicios administrados de DDC se comunicó a través de una notificación automática para informar a la empresa sobre una actividad inusual en su red. Desafortunadamente, DDC no hizo mucho con esa información. En cambio, esperó varios meses antes de que el MSP se pusiera en contacto una vez más, esta vez para informarle que ahora había evidencia de Cobalt Strike en su red.
Golpe de cobalto es una popular herramienta de prueba de penetración que con frecuencia ha sido cooptado por delincuentes para penetrar aún más en redes ya comprometidas. Encontrarlo inesperadamente en su red nunca es una buena señal. Cuando DDC respondió oficialmente a las advertencias de su MSP, un hacker había logrado robar datos conectados a 2,1 millones de personas que habían sido analizadas genéticamente en los EE. UU., incluidos los números de seguridad social de 45.000 clientes de Ohio y Pensilvania.
El registro informes que los datos robados eran parte de una “base de datos heredada” que DDC había acumulado hace años y luego aparentemente olvidó que tenía. En 2012, DDC había comprado otra firma forense, Orchid Cellmark, acumulando las bases de datos de la empresa junto con la venta. Posteriormente, DDC afirmó que no sabía que los datos estaban incluso en sus sistemas, alegando que un inventario anterior de sus bóvedas digitales no arrojó ninguna señal de la información de millones de personas que luego fue impulsado por el hacker.
G/O Media puede recibir una comisión
No mucho después de que surgiera la noticia de la violación de datos, Ohio y Pensilvania demandaron a la empresa.
“La negligencia no es una excusa para dejar que se roben los datos de los consumidores”, dicho El fiscal general de Ohio, Dave Yost, sobre el incidente. “Estamos orgullosos de asociarnos con Pensilvania para garantizar que los datos personales de los ciudadanos se mantengan privados, lo que los consumidores esperan con razón”.
“Cuanta más información personal tengan acceso estos delincuentes, más vulnerable se vuelve la persona cuya información fue robada”, dicho la fiscal general interina de Pensilvania, Michelle A. Henry. “Es por eso que mi Oficina tomó medidas con la asistencia del Fiscal General Yost en Ohio”.
Como resultado de los acuerdos recientes, DCC se verá obligada a promulgar algunas protecciones básicas. Esto incluye la contratación de un CISO profesional para supervisar su programa de seguridad de la información, realizando evaluaciones ocasionales de riesgos de seguridad de su red, manteniendo un registro actualizado Inventario de activosdiseñando e implementando “medidas de seguridad razonables” para proteger sus datos, y desarrollando un plan para responder a “actividades de red sospechosas dentro de su red dentro de medios razonables”, todas cosas bastante básicas que la mayoría de las empresas deberían hacer.