DISA Global Solutions, un fornitore con sede negli Stati Uniti di servizi di screening dei dipendenti, ha dichiarato di aver subito una violazione dei dati che coinvolge più di 3,3 milioni di persone.
DISA, che fornisce servizi come test antidroga e alcolici e controlli dei precedenti a più di 55.000 imprese e un terzo delle aziende Fortune 500, ha confermato la violazione dei dati in una relazione con l'avvocato generale del Maine lunedì.
DISA ha scoperto di essere stata vittima di un "incidente informatico" che ha coinvolto una "porzione limitata" della sua rete il 22 aprile 2024. Un'indagine interna ha determinato che un hacker ha infiltrato la rete dell'azienda il 9 febbraio 2024, rimanendo non notato per oltre due mesi.
In una lettera inviata agli interessati dalla violazione dei dati, che include individui che hanno svolto test di screening dei dipendenti, DISA ha dichiarato che l'attaccante ha "ottenuto alcune informazioni" dai suoi sistemi.
In una relazione separata con l'avvocato generale del Massachusetts, DISA ha confermato che le informazioni rubate includono i numeri di previdenza sociale delle persone, le informazioni sui conti finanziari inclusi i numeri delle carte di credito e documenti di identificazione governativi. Questa relazione ha confermato che più di 360.000 residenti del Massachusetts sono stati colpiti dalla violazione.
Tuttavia, nella lettera di notifica della violazione dei dati, DISA ha dichiarato che "non poteva concludere definitivamente i dati specifici ottenuti", suggerendo che l'azienda non ha i mezzi tecnici, come i log, per individuare esattamente quali dati interni sono stati accessi o esfiltrati.
Secondo il suo sito web, DISA raccoglie una vasta gamma di informazioni personali e sensibili, tra cui dettagli sulla storia lavorativa di un richiedente, il background educativo, i precedenti penali e la storia creditizia.
Non è ancora noto chi sia dietro il cyberattacco o come sia stata compromessa l'organizzazione. È anche poco chiaro perché a DISA sia stato così lungo notificare agli individui interessati sulla violazione.
DISA non ha risposto immediatamente alle domande di TechCrunch.
