行業新聞與部落格

DISA Global Solutions, Inc. 的網路事件洩露了超過 330 萬名接受就業篩選人員的敏感個人資訊；該公司上週五向受影響的個人證實了這一點。

違規時間表和調查

2024 年 4 月 22 日，DISA 檢測到其網路的有限部分遭到未經授權的訪問。在第三方取證專家的協助下，內部調查顯示，一名身份不明的攻擊者在 2024 年 2 月 9 日至 4 月 22 日期間訪問了其系統。 

儘管 DISA 無法確認具體哪些資料被竊取，但受影響的檔案可能包含姓名、社會安全號碼、駕駛執照號碼、金融賬戶資訊和其他識別符號等個人資訊。

該公司表示，目前沒有證據表明洩露的資訊被濫用。據報道，發現後，DISA 立即採取行動遏制違規行為，通知當局，恢復運營並加強安全協議。

“此次網路事件有兩個方面值得注意。首先，個人的 SSN 被竊取，這些 SSN 很容易被威脅者利用來牟利。無論出於何種目的儲存 SSN，都應該具有更高的安全性，而使用 SSN 來識別數字消費者是一種過時的資料管理做法，”Saviynt 首席信託官 Jim Routh 表示。

“第二個方面是沒有提供違規的根本原因，因此不清楚 DISA 採取了哪些措施來降低這種情況再次發生的可能性。”

影響與響應

DISA 是一家第三方就業篩查服務管理機構，為各行各業提供背景調查和藥物檢測，其中包括知名的財富 500 強企業。鑑於 DISA 可以訪問敏感資料，此次洩密事件引發了人們對該行業網路安全漏洞的擔憂。

受影響的個人將直接收到通知並提供以下幫助：

• 透過 Experian 享受 12 個月的免費信用監控和身份恢復服務

• 監控和保護財務資訊的步驟指南

• 撥打專門的諮詢熱線

專家擔心安全漏洞

網路安全專家對 DISA 的漏洞檢測和響應時間表示擔憂。KnowBe4 首席安全意識倡導者 Javvad Malik 強調，處理敏感個人資料的公司需要採取更強有力的網路安全措施。

馬利克表示：“檢測和報告違規行為的延遲引發了人們對 DISA 所採用的持續監控和事件響應策略的迫切質疑。違規行為發生後提供身份盜竊保護服務 [...] 只是一種被動措施。組織必須 [...] 在網路安全方面採取更主動的立場。”

AppOmni 首席安全官 Cory Michal 贊同馬利克的觀點，並補充說，由於資料儲存的性質，背景調查公司是網路犯罪分子的主要目標。

Michal 表示：“與必須遵守嚴格網路安全法規的金融機構不同，這些公司通常安全預算較少，安全控制較弱，因此更容易受到攻擊。”

隨著調查的持續，DISA 的安全基礎設施和響應效率面臨嚴格審查。處理個人資料的組織必須優先考慮網路安全，以防止將來發生類似的違規行為。