Foto: isak55 (Shutterstock)
Sebuah perusahaan pengujian DNA terkemuka telah menyelesaikan tuntutan hukum dengan jaksa agung Pennsylvania dan Ohio setelah episode tahun 2021 yang memperlihatkan penjahat dunia maya mencuri data 2,1 juta orang, termasuk nomor jaminan sosial 45.000 pelanggan dari kedua negara bagian. Sebagai akibat dari tuntutan hukum tersebut, perusahaan yang dimaksud, Pusat Diagnostik DNA (atau DDC), harus membayar $400.000 kumulatif kepada kedua pemerintah dan juga setuju untuk meningkatkan praktik keamanan digitalnya. Perusahaan mengatakan bahkan tidak tahu bahwa datanya telah dicuri karena disimpan dalam database lama.
Di situs webnya, DDC menyebut dirinya “pemimpin dunia dalam pengujian DNA pribadi,” dan membanggakan afiliasi direktur labnya dengan sejumlah kasus kriminal terkenal, termasuk persidangan OJ Simpson dan kasus paternitas Anna Nicole Smith. Perusahaan juga mengklaim bahwa itu adalah “sumber utama media untuk jawaban atas pertanyaan pengujian DNA” dan dianggap sebagai “laboratorium utama untuk melakukan pengujian DNA untuk acara TV dan program radio.” Meskipun kedengarannya sangat mengesankan, pasti ada satu hal yang DDC bukan “pemimpin dunia” dalam—praktik keamanan siber. Sebelum tuntutan hukum baru-baru ini, sepertinya perusahaan tidak memilikinya.
Bukti episode peretasan pertama kali muncul pada Mei 2021, ketika penyedia layanan terkelola DDC menjangkau melalui pemberitahuan otomatis untuk memberi tahu perusahaan tentang aktivitas tidak biasa di jaringannya. Sayangnya, DDC tidak berbuat banyak dengan informasi tersebut. Sebaliknya, ia menunggu beberapa bulan sebelum MSP menjangkau lagi — kali ini untuk memberi tahu bahwa sekarang ada bukti Cobalt Strike di jaringannya.
Cobalt Strike adalah alat pengujian penetrasi populer yang sering digunakan oleh penjahat untuk menembus lebih jauh jaringan yang sudah disusupi. Tiba-tiba menemukannya di jaringan Anda bukanlah pertanda baik. Pada saat DDC secara resmi menanggapi peringatan MSP-nya, seorang peretas telah berhasil mencuri data yang terhubung ke 2,1 juta orang yang telah diuji secara genetik di AS, termasuk nomor jaminan sosial dari 45.000 pelanggan dari Ohio dan Pennsylvania.
Register melaporkan bahwa data yang dicuri adalah bagian dari “basis data warisan” yang telah dikumpulkan DDC bertahun-tahun yang lalu dan kemudian tampaknya lupa. Pada tahun 2012, DDC telah membeli firma forensik lain, Orchid Cellmark, mengumpulkan database firma bersamaan dengan penjualan. DDC kemudian mengklaim bahwa ia tidak menyadari bahwa data tersebut bahkan ada dalam sistemnya, menyatakan bahwa inventaris sebelumnya dari brankas digitalnya tidak menemukan tanda-tanda informasi jutaan orang yang kemudian didorong oleh peretas.
G/O Media dapat memperoleh komisi
Tidak lama setelah berita pembobolan data muncul, Ohio dan Pennsylvania menggugat perusahaan tersebut.
“Kelalaian bukanlah alasan untuk membiarkan data konsumen dicuri,” kata Jaksa Agung Ohio Dave Yost, tentang insiden tersebut. “Kami bangga bermitra dengan Pennsylvania untuk memastikan bahwa data pribadi warga tetap rahasia —yang diharapkan konsumen.”
“Semakin banyak informasi pribadi yang dapat diakses oleh penjahat ini, semakin rentan orang yang informasinya dicuri,” kata Penjabat Jaksa Agung Pennsylvania Michelle A. Henry. “Itulah mengapa Kantor saya mengambil tindakan dengan bantuan Jaksa Agung Yost di Ohio.”
Sebagai hasil dari penyelesaian baru-baru ini, DCC akan dipaksa untuk memberlakukan beberapa perlindungan dasar. Ini termasuk mempekerjakan CISO profesional untuk mengawasi program keamanan informasinya, sesekali melakukan penilaian risiko keamanan jaringannya, memelihara inventaris aset terkini, merancang dan menerapkan “tindakan keamanan yang wajar” untuk melindungi datanya, dan mengembangkan rencana untuk menanggapi “aktivitas jaringan yang mencurigakan dalam jaringannya dengan cara yang masuk akal” —semua hal yang cukup mendasar yang harus dilakukan sebagian besar perusahaan.