米国の雇用者スクリーニングサービスプロバイダーであるDISA Global Solutionsは、300万人以上の人々に影響を与えるデータ侵害を受けたと述べました。
DISAは、ドラッグおよびアルコールのテストやバックグラウンドチェックなどのサービスを提供しており、55,000を超える企業およびフォーチュン500社の3分の1以上にサービスを提供していると述べています。同社は、月曜日にメイン州の検事総長に提出した書類でデータ侵害を確認しました。
DISAは2024年4月22日に、自社のネットワークの「限られた部分」に影響を与える「サイバーインシデント」の被害者になったことを発見したと述べました。内部調査により、ハッカーが2024年2月9日に同社のネットワークに侵入し、2か月以上気づかれずに潜伏していたことが判明しました。
データ侵害の影響を受けた人々に送られた手紙で、DISAは、攻撃者がシステムから「一部の情報」を入手したと述べています。
マサチューセッツ州の検事総長に提出された別の書類によれば、盗まれた情報には、個人の社会保障番号、クレジットカード番号を含む金融口座情報、政府発行の身分証明書が含まれていることが確認されました。この書類によると、300,000人以上のマサチューセッツ州の住民が侵害を受けました。
ただし、データ侵害の通知書には、「具体的にどのデータが入手されたかを断定することはできない」と記載されており、会社は内部データが正確にどのようにアクセスまたは外部へ持ち出されたかを検出するためのログなど、技術的手段を持っていない可能性が示唆されています。
同社のウェブサイトによると、DISAは、応募者の職歴、学歴、犯罪記録、信用履歴など、幅広い個人情報と機密情報を収集しています。
誰がこのサイバー攻撃の背後にいるのか、また組織がどのように侵害されたのかはまだわかっていません。また、DISAが侵害を受けた個人に通知するのになぜそんなに時間がかかったのかも不明です。
DISAはTechCrunchの質問には直ちに回答していません。
