Американская фирма по проверке сотрудников DISA подверглась утечке данных, пострадали более 3,3 миллиона человек.

Компания DISA Global Solutions, занимающаяся проверкой сотрудников и базирующаяся в США, сообщила о взломе своей системы, что подвергло риску персональные данные 3,3 миллиона человек. Хотя DISA проинформировала генпрокурора штата Мэн о нарушении данных накануне (спасибо TechCrunch) и сообщила об инциденте в офис потребительских дел и регулирования бизнеса штата Массачусетс 22 февраля, атака началась более года назад, 9 февраля 2024 года. Неизвестный хакер проник в сеть DISA на два месяца до того, как компания обнаружила взлом 22 апреля 2024 года.

Тем не менее, якобы «нет доказательств фактического или попытавшегося злоупотребления» персональными данными. В образце уведомительного письма, отправленного пострадавшим от взлома, DISA заявила, что «не могла точно определить конкретные полученные данные», даже после расследования с привлечением третьих сторон.

Однако в документации штата Массачусетс указано, что злоумышленники имели доступ к номерам социального страхования, банковским счетам, водительским правам и кредитным и дебетовым картам. DISA не предоставила других подробностей об атаке.

DISA обслуживает более 55 000 клиентов, включая 30% компаний из списка Fortune 500. Компания предлагает проверки на наркотики, алкоголь и бэкграунд-чеки, что позволяет ей собирать чувствительную информацию, делая ее идеальной мишенью для киберпреступников. Непонятно, почему DISA так долго не информировала о взломе, особенно учитывая высокую чувствительность отрасли проверки сотрудников. Пострадавшим предлагается 12 месяцев бесплатного мониторинга кредитной истории и услуг восстановления личности — стандартная практика компаний после инцидентов в области кибербезопасности.