Amerikaans screeningsbedrijf DISA getroffen door datalek dat ruim 3,3 miljoen mensen treft

Volgens DISA Global Solutions, een Amerikaanse aanbieder van screeningdiensten voor werknemers, is het systeem gehackt. Hierdoor zijn de persoonsgegevens van 3,3 miljoen mensen in gevaar.

Hoewel DISA de procureur-generaal van Maine gisteren op de hoogte bracht van de datalek (bedankt, TechCrunch ) en de hack eerder op 22 februari meldde bij het Massachusetts's Office of Consumer Affairs and Business Regulation, begon de aanval meer dan een jaar geleden, op 9 februari 2024. De niet-geïdentificeerde hacker had twee maanden lang toegang tot het netwerk van DISA voordat het bedrijf het op 22 april 2024 opmerkte. Er is echter naar verluidt "geen bewijs van daadwerkelijk of geprobeerd misbruik" van persoonlijke informatie.

In een voorbeeld van een kennisgevingsbrief die naar de slachtoffers van de hack werd gestuurd, beweerde DISA dat het "de specifieke verkregen gegevens niet definitief kon vaststellen", zelfs niet na een onderzoek met assistentie van derden. De indiening in Massachusetts vermeldde echter waar de aanvallers toegang toe hadden: burgerservicenummers, financiële rekeningen, rijbewijzen en creditcard- en debetnummers. DISA deelde geen andere details over de aanval.

DISA bedient meer dan 55.000 klanten, waaronder 30 procent van de Fortune 500-bedrijven. Het bedrijf biedt drugs-, alcohol- en achtergrondcontroles. Hierdoor kan het gevoelige informatie verzamelen, wat het een belangrijk doelwit maakt voor cybercriminelen.

Het is onbekend waarom DISA er bijna een jaar over deed om iemand te informeren, vooral omdat het screenen van werknemers een zeer gevoelige sector is. Getroffenen kunnen zich inschrijven voor 12 maanden kredietbewaking en identiteitshersteldiensten, een gebruikelijke verontschuldiging die bedrijven vaak uitvoeren na een cyberbeveiligingsincident.