image

Dna-laboratorium schikt groot datalek door "vergeten" databaseservers

woensdag 22 februari 2023, 15:41 door Redactie, 3 reacties

Het Amerikaanse dna-laboratorium DNA Diagnostics Center (DDC), dat voor mensen wereldwijd dna-tests uitvoert waaronder in Nederland, heeft een groot datalek geschikt dat zich in 2021 voordeed. Een aanvaller wist de persoonlijke gegevens van 2,1 miljoen mensen te stelen die dna-tests hadden laten uitvoeren. DDC betaalde de aanvaller uiteindelijk voor het vernietigen van de gestolen data.

De gestolen data was afkomstig van verschillende databaseservers die initieel eigendom van een ander bedrijf waren, dat in 2012 door DDC werd overgenomen. Het dna-laboratorium claimt dat het negen jaar lang niet van het bestaan van deze legacy-databases in het eigen netwerk afwist. Voordat het datalek plaatsvond had DDC wel een penetratietest laten uitvoeren, maar die richtte zich alleen op systemen met actieve klantgegevens.

Het lukte de aanvaller om op 24 mei 2021 toegang tot de servers te krijgen. Op 28 mei verstuurde de managed serviceprovider van DDC geautomatiseerde waarschuwingen dat er verdachte activiteit op het netwerk was waargenomen. Deze meldingen werden twee maanden lang verstuurd. Op 6 augustus liet de provider weten dat er malware was aangetroffen.

In september van dat jaar werd DDC door de aanvaller benaderd, die liet weten over de data van 2,1 miljoen mensen te beschikken. Het bedrijf betaalde de aanvaller vervolgens voor het vernietigen van de gegevens. Getroffen klanten werden pas eind november 2021 ingelicht. Daarop stelden de autoriteiten een onderzoek in, waaruit bleek dat er sprake was van misleiding door DDC en het niet eerlijk was over de bescherming van persoonsgegevens zoals vermeld in het privacybeleid.

"Nalatigheid is geen excuus om klantgegevens gestolen te laten worden", zegt Dave Yost, procureur-generaal van de Amerikaanse staat Ohio. DDC heeft nu een schikking met de staat getroffen van 400.000 dollar. Daarnaast moet het als onderdeel van de schikking een beveiligingsprogramma implementeren, klantgegevens adequaat beveiligen en tijdig reageren op beveiligingsmeldingen.

Reacties (3)
22-02-2023, 16:41 door Anoniem
400.000 / 2.100.000 = 0.19 dollar per persoon. Dat is toch een lachertje. Zeker omdat de data 9 jaar lang online heeft gestaan, en de meldingen over security niet worden opgevolgd...

Wanneer worden zulke bedrijven nou een failliet verklaart. Gewoon opdoeken. En bestuurders mogen geen nieuw bedrijf starten in dezelfde branch.

TheYOSH
22-02-2023, 18:31 door spatieman
dat "vergeten" doet het hem om mij te laten gniffelen.
23-02-2023, 12:22 door Anoniem
Daarnaast moet het als onderdeel van de schikking een beveiligingsprogramma implementeren, klantgegevens adequaat beveiligen en tijdig reageren op beveiligingsmeldingen.

Allemaal dingen die ze al lang en breed hadden moeten doen, doordat ze werken met zeer privacygevoelige gegevens. Dat is een lachertje en schandalig tegelijk. Dit in een schikking opnemen is zoiets als in een schikking met een overvaller opnemen dat hij zich voortaan wel moet gedragen.

En nu maar hopen dat die DNA-gegevens inderdaad zijn vernietigd. Criminelen en afpersers vertrouwen op hun blauwe ogen, dat wringt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.