行業新聞與博客

DISA Global Solutions, Inc. 的網絡事件泄露了超過 330 萬名接受就業篩選人員的敏感個人信息；該公司上週五向受影響的個人證實了這一點。

違規時間表和調查

2024 年 4 月 22 日，DISA 檢測到其網絡的有限部分遭到未經授權的訪問。在第三方取證專家的協助下，內部調查顯示，一名身份不明的攻擊者在 2024 年 2 月 9 日至 4 月 22 日期間訪問了其系統。 

儘管 DISA 無法確認具體哪些數據被竊取，但受影響的文件可能包含姓名、社會安全號碼、駕駛執照號碼、金融賬户信息和其他標識符等個人信息。

該公司表示，目前沒有證據表明泄露的信息被濫用。據報道，發現後，DISA 立即採取行動遏制違規行為，通知當局，恢復運營並加強安全協議。

“此次網絡事件有兩個方面值得注意。首先，個人的 SSN 被竊取，這些 SSN 很容易被威脅者利用來牟利。無論出於何種目的存儲 SSN，都應該具有更高的安全性，而使用 SSN 來識別數字消費者是一種過時的數據管理做法，”Saviynt 首席信託官 Jim Routh 表示。

“第二個方面是沒有提供違規的根本原因，因此不清楚 DISA 採取了哪些措施來降低這種情況再次發生的可能性。”

影響與響應

DISA 是一家第三方就業篩查服務管理機構，為各行各業提供背景調查和藥物檢測，其中包括知名的財富 500 強企業。鑑於 DISA 可以訪問敏感數據，此次泄密事件引發了人們對該行業網絡安全漏洞的擔憂。

受影響的個人將直接收到通知並提供以下幫助：

• 通過 Experian 享受 12 個月的免費信用監控和身份恢復服務

• 監控和保護財務信息的步驟指南

• 撥打專門的諮詢熱線

專家擔心安全漏洞

網絡安全專家對 DISA 的漏洞檢測和響應時間表示擔憂。KnowBe4 首席安全意識倡導者 Javvad Malik 強調，處理敏感個人數據的公司需要採取更強有力的網絡安全措施。

馬利克表示：“檢測和報告違規行為的延遲引發了人們對 DISA 所採用的持續監控和事件響應策略的迫切質疑。違規行為發生後提供身份盜竊保護服務 [...] 只是一種被動措施。組織必須 [...] 在網絡安全方面採取更主動的立場。”

AppOmni 首席安全官 Cory Michal 贊同馬利克的觀點，並補充説，由於數據存儲的性質，背景調查公司是網絡犯罪分子的主要目標。

Michal 表示：“與必須遵守嚴格網絡安全法規的金融機構不同，這些公司通常安全預算較少，安全控制較弱，因此更容易受到攻擊。”

隨着調查的持續，DISA 的安全基礎設施和響應效率面臨嚴格審查。處理個人數據的組織必須優先考慮網絡安全，以防止將來發生類似的違規行為。