Dane ponad 2 mln klientów wyciekły po cyberataku na firmę prowadzącą badania DNA

W wyniku naruszenia bezpieczeństwa infrastruktury IT firmy, wyciekły imiona i nazwiska klientów, numery kart debetowych i kredytowych, a także numery CVV służące do uwierzytelniania transakcji, numery kont bankowych i hasła do logowania na platformie konsumenckiej spółki.

Dane dotyczą okresu lat pomiędzy 2004 a 2012 i przechowywane były w kopiach zapasowych - to właśnie stamtąd wyciekły pozyskane przez cyberprzestępców informacje.

Według serwisu Bleeping Computer, miejsce przechowywania ujawnionych informacji nie było w żaden sposób połączone z bazami danych wykorzystywanymi do przetwarzania bieżących rekordów, ani z aktywnymi systemami teleinformatycznymi. 

Dane połączone z rejestrem informacji o testach genetycznych

Bleeping Computer pisze, że baza danych, której bezpieczeństwo naruszono, była połączona z systemem jednej z organizacji zajmujących się w USA testami genetycznymi. System ten jednak nigdy nie został wykorzystany przez dotkniętą incydentem spółkę i nie był aktywny od 2012 roku - dodaje serwis, powołując się na oficjalną komunikację DDC.

Według firmy, z organizacji dostarczającej wyniki testów miały być pozyskiwane przed 2012 roku niektóre dane osobowe, a naruszenie bezpieczeństwa struktur spółki w żaden sposób nie przekłada się na zagrożenie dla wrażliwych danych medycznych. 

Nie naruszono bezpieczeństwa danych dot. genomów

DDC w swoim komunikacie podkreśla, że podczas incydentu nie zostało naruszone bezpieczeństwo wyników testów genetycznych, bo te przechowywane są w innym systemie. 

Firma oferuje komercyjne testy genetyczne związane z ustalaniem ojcostwa, badaniem genealogii, płodności, a także pod kątem COVID-19. DDC wykonuje również badania genetyczne na potrzeby administracji regulującej w USA kwestie migracyjne.

Genom - najcenniejsze informacje o człowieku

O tym, jak ważne jest należyte zabezpieczenie danych genetycznych, pisaliśmy w naszym #CyberMagazynie. 

Dane genetyczne to informacje, które nie dość, że pozwalają na identyfikację konkretnej osoby, to stanowią zestaw informacji unikalnych dla każdego człowieka.

W przypadku cyberataku na firmy oferujące usługi oparte o analizę DNA, istnieje ryzyko kradzieży informacji przez cyberprzestępców. 

To jednak nie jedyny scenariusz, w którym "coś może pójść nie tak". Brak świadomości zagrożeń takich, jak profilowanie w oparciu o dane genetyczne to problem, który może pozwolić firmom współpracującym z sektorem prywatnych badań genetycznych na poważne nadużycia. 

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.