La società statunitense di screening dei dipendenti DISA è stata colpita da una violazione dei dati che ha interessato oltre 3,3 milioni di persone

DISA Global Solutions, fornitore di servizi di screening dei dipendenti con sede negli Stati Uniti, ha dichiarato di essere stato violato dagli hacker, mettendo a rischio i dati personali identificabili di 3,3 milioni di persone.

Mentre DISA ha informato ieri il procuratore generale del Maine della violazione dei dati (grazie, TechCrunch ) e ha segnalato l'attacco all'Office of Consumer Affairs and Business Regulation del Massachusetts in precedenza, il 22 febbraio, l'attacco è iniziato più di un anno fa, il 9 febbraio 2024. L'hacker non identificato ha avuto accesso alla rete DISA per due mesi prima che la società se ne accorgesse il 22 aprile 2024. Tuttavia, presumibilmente non ci sono "prove di un uso improprio effettivo o tentato" di informazioni personali.

In una lettera di notifica campione inviata a coloro che sono stati colpiti dall'hacking, la DISA ha affermato di "non essere riuscita a concludere in modo definitivo i dati specifici ottenuti" anche dopo un'indagine con l'assistenza di terze parti. Tuttavia, la documentazione del Massachusetts elencava a cosa avevano avuto accesso gli aggressori: numeri di previdenza sociale, conti finanziari, patenti di guida e numeri di carte di credito e di debito. La DISA non ha condiviso altri dettagli sull'attacco.

DISA serve oltre 55.000 clienti, tra cui il 30 percento delle aziende Fortune 500. L'azienda offre controlli su droga, alcol e precedenti penali. Ciò le consente di raccogliere informazioni sensibili, rendendola un obiettivo primario per i criminali informatici.

Non si sa perché la DISA abbia impiegato quasi un anno per avvisare qualcuno, soprattutto quando lo screening dei dipendenti è un settore altamente sensibile. Gli interessati possono iscriversi a 12 mesi di servizi di monitoraggio del credito e ripristino dell'identità, un comune atto di scuse che le aziende spesso adottano dopo un incidente di sicurezza informatica.