O DNA Diagnostics Center, uma empresa de testes de DNA, pagará uma multa de US$ 400.000 aos procuradores-gerais da Pensilvânia e Ohio por uma violação de dados em 2021 que afetou 2,1 milhões de indivíduos em todo o país, de acordo com um acordo com os procuradores-gerais dos estados.

A empresa também será obrigada a implementar melhorias em sua segurança de dados, incluindo a atualização do inventário de ativos de toda a sua rede e a desativação ou remoção de quaisquer ativos identificados que não sejam necessários para qualquer finalidade comercial legítima.

Fundado em 1995, o DNA Diagnostic Center é uma empresa privada de testes de DNA que oferece testes diagnósticos e genéticos para ajudar a responder questões de relacionamento, fertilidade e saúde e bem-estar.

Segundo a csoonline.com:

Os dados legados esquecidos

O incidente de hacking do DNA Diagnostics Center envolveu dados herdados da Orchid Cellmark, que a empresa adquiriu em 2012 para expandir seu portfólio de negócios. “Especificamente, a violação envolveu bancos de dados que não foram usados ​​para nenhum propósito comercial, mas foram fornecidos ao DNA Diagnostic Center como parte de uma aquisição da Orchid Cellmark em 2012”, disseram os documentos do tribunal.

O DNA Diagnostic Center alegou que a violação afetou os bancos de dados, contendo informações pessoais sensíveis, que foram acidentalmente transferidas para a empresa sem seu conhecimento. “O DNA Diagnostic Center afirma que não sabia que esses bancos de dados existentes existiam em seus sistemas no momento da violação, mais de nove anos após a aquisição”, disse a empresa ao tribunal.

“A negligência não é uma desculpa para permitir que os dados do consumidor sejam roubados”, disse o procurador-geral de Ohio, Dave Yost, em comunicado.

Os dados roubados foram coletados entre 2004 e 2012. A investigação conjunta de Ohio e Pensilvânia descobriu que o DNA Diagnostics Center fez declarações injustas e enganosas sobre sua segurança cibernética e falhou em empregar medidas razoáveis ​​para detectar e prevenir uma violação de dados, expondo seus consumidores a danos.

A violação expôs os números de previdência social e outros dados pessoais de cerca de 33.300 consumidores em Ohio e cerca de 12.600 na Pensilvânia. O DNA Diagnostics Center pagará uma multa HIPAA de $ 200.000 para Ohio e uma multa HIPAA de $ 200.000 para a Pensilvânia.

Um atraso de dois meses na ação

O DNA Diagnostic Center foi alertado sobre atividades suspeitas por seu fornecedor terceirizado de monitoramento de violação de dados, mas os alertas foram ignorados pela empresa. “O empreiteiro tentou repetidamente notificar a DNA Diagnostics por e-mail, mas os funcionários da empresa ignoraram os e-mails por mais de dois meses”, dizia o documento do tribunal.

Durante esse período, os invasores instalaram o malware Cobalt Strike na rede da empresa e extraíram dados.

As investigações revelaram que o agente da ameaça se conectou a uma rede privada virtual em 24 de maio de 2021 usando uma conta de usuário do DNA Diagnostic Center e coletou as credenciais do Active Directory de um controlador de domínio que forneceu informações de senha para cada conta na rede.

O tribunal também observou que, quando o agente da ameaça inicialmente acessou a VPN, o DNA Diagnostic Center migrou para uma VPN diferente e nenhum usuário deveria estar usando a VPN que o agente da ameaça usou para acesso remoto.

Em 16 de junho de 2021, o agente da ameaça usou uma conta de teste com privilégios de administrador para criar um mecanismo de persistência que executava o Cobalt Strike em todo o ambiente.

Entre 7 de julho de 2021 e 28 de julho de 2021, o agente da ameaça acessou cinco servidores e fez backup coletivo de um total de 28 bancos de dados dos servidores usando um servidor desativado.

Em setembro de 2021, o agente da ameaça entrou em contato com a empresa e exigiu o pagamento. A empresa fez o pagamento ao hacker em troca da exclusão dos dados roubados, observou o tribunal.

Termos de liquidação

O acordo exige que o DNA Diagnostics Center mantenha políticas de segurança razoáveis ​​projetadas para proteger as informações pessoais do consumidor. Também exige que o laboratório designe um funcionário para coordenar e supervisionar seu programa de segurança da informação.

A empresa de teste de DNA também terá que realizar avaliações de risco de segurança de suas redes que armazenam informações pessoais anualmente, manter um inventário de ativos atualizado de toda a rede e desabilitar ou remover quaisquer ativos identificados que não sejam necessários para qualquer finalidade comercial legítima.

A empresa terá que projetar e implementar medidas de segurança razoáveis ​​para a proteção e armazenamento de informações pessoais, incluindo atualizações de software oportunas, teste de penetração de suas redes e implementação de controles de acesso razoáveis, como autenticação multifator, e detectar e responder a atividade de rede suspeita dentro de sua rede dentro de meios razoáveis, acrescentou o comunicado.