Cyberthreat.id - Pusat Diagnostik DNA (DDC), sebuah perusahaan pengujian DNA yang berbasis di Ohio, Amerika Serikat, mengumumkan telah mengalami insiden peretasan yang berdampak terhadap 2.102.436 orang.

Berpusat di Amerika Serikat, DDC beroperasi di 128 negara termasuk Kanada, Uni Eropa, Inggris, India dan negara-negara Asia Tenggara.

Seperti dilansir Bleeping Computer, insiden tersebut mengakibatkan pelanggaran data yang dikonfirmasi  terjadi antara 24 Mei 2021, dan 28 Juli 2021, namun baru disadari perusahaan pada 6 Agustus. Perusahaan menyelesaikan penyelidikan internalnya pada 29 Oktober 2021.

Informasi yang diakses peretas meliputi:

- Nama lengkap
  Nomor kartu kredit + CVV
  Nomor kartu debit + CVV
  Nomor rekening keuangan
  Kata sandi akun platform

Basis data yang disusupi berisi cadangan lama antara tahun 2004 dan 2012, dan menurut perusahaan, tidak terkait dengan sistem dan basis data aktif yang digunakan oleh DDC saat ini.

“Basis data yang terkena dampak dikaitkan dengan organisasi pengujian genetik nasional yang tidak pernah digunakan DDC dalam operasinya dan tidak aktif sejak 2012,” kata DDC dalam pemberitahuannya.

“DDC memperoleh aset tertentu dari organisasi pengujian genetik nasional ini pada tahun 2012 yang mencakup informasi pribadi tertentu, dan oleh karena itu, dampak dari insiden ini tidak terkait dengan DDC,” tambah perusahaan.

DDC mengklaim bekerja sama dengan pakar keamanan siber eksternal untuk mendapatkan kembali kepemilikan file yang dicuri dan memastikan bahwa pelaku ancaman tidak akan menyebarkannya lebih jauh. Sejauh ini, belum ada laporan penipuan atau penggunaan yang tidak benar dari detail yang dicuri.

Orang-orang yang terkena dampak akan menerima surat pemberitahuan dan instruksi tentang pendaftaran untuk satu tahun pemantauan kredit gratis dan layanan perlindungan pencurian identitas melalui Experian.

Penerima pemberitahuan ini disarankan untuk tetap waspada terhadap penipuan dan sering memantau laporan rekening bank mereka untuk segera mengidentifikasi dan melaporkan aktivitas yang mencurigakan.

DDC menggarisbawahi bahwa tidak ada data pengujian genetik yang diekspos karena insiden pelanggaran data, karena ini disimpan dalam sistem yang berbeda.

Perusahaan menangani pengujian hubungan DNA, kesuburan, COVID-19, keturunan, dan pengujian untuk tujuan imigrasi, sehingga mereka menyimpan data yang sangat sensitif.

Namun, menurut pemberitahuan itu, tidak ada data terkait layanan ini yang dibobol.

Bagaimana pun, Chris Clements, wakil presiden di Cerberus Sentinel, mengkritik DDC karena "secara tidak jujur ​​berusaha mengalihkan tanggung jawab atas peretasan" karena pernyataan DDC yang menyebut sistem yang bobol tidak terkait dengan perusahaan mereka secara langsung.

"Tidak peduli organisasi apa yang 'mulai' dengan data; begitu Anda mendapatkannya, itu menjadi tanggung jawab Anda. Saya mungkin lebih memaafkan jika data itu baru saja diperoleh oleh DDC, tetapi sekarang, mereka sudah hampir memilikinya satu dekade," kata Clements seperti dilansir ZDnet.

"Jika Anda tidak mengetahui adanya aset tertentu, Anda tidak dapat mulai mengamankannya dengan benar. Pengamatan kedua adalah penundaan hampir tiga bulan antara awal pelanggaran dan deteksi pertama. DDC belum mengungkapkan apa yang memicu menyadari bahwa mereka telah mengalami serangan siber. Namun, sebagian besar organisasi menemukan bahwa peretasan hanya terjadi ketika dihubungi oleh pihak ketiga seperti peneliti keamanan yang telah melacak kumpulan data curian di web gelap kembali ke perusahaan mereka atau ketika dihubungi oleh pelaku ancaman itu sendiri dengan tuntutan pemerasan," tambahnya.  []