DISA Global Solutions, l’une des principales sociétés américaines de dépistage des antécédents et de dépistage de drogues et d’alcool, a subi une violation de données affectant 3,3 millions de personnes.
En janvier, l’entreprise a divulgué pour la première fois un incident de cybersécurité survenu entre le 9 février 2024 et le 22 avril 2024, le jour où elle a découvert la violation.
Dans une mise à jour publiée plus tôt ce mois-ci, DISA a révélé que les acteurs de la menace avaient peut-être accédé à des données sensibles stockées dans ses systèmes, mais qu’il n’y avait aucune preuve de diffusion ultérieure ou d’utilisation abusive.
Aujourd’hui, la société a confirmé qu’après une enquête plus approfondie, il avait été déterminé que les données sensibles de 3 332 750 millions de personnes avaient été exposées lors de la cyberattaque.
DISA compte plus de 55 000 clients dans un large éventail de secteurs, dont 30% des entreprises Fortune 500 comptent sur les services de l’entreprise. Cela dit, la violation de données pourrait avoir de lourdes conséquences à l’échelle nationale.
« Nous vous écrivons pour vous informer d’un incident vécu par DISA qui pourrait avoir impliqué certaines de vos informations personnelles, qui sont entrées en notre possession en raison des services de filtrage des employés que vous avez peut-être effectués auprès de votre employeur actuel ou ancien ou d’un employeur potentiel », lit-on dans la notification envoyée aux personnes touchées.
DISA n’a pas divulgué quels types d’informations ont été exposés à la partie non autorisée dans l’exemple de lettre qu’elle a partagé avec les autorités. Cependant, dans un avis publié sur son site Web, il énumère les éléments suivants:
- Nom complet
- Numéro de Sécurité sociale
- Numéro de permis de conduire
- Numéro d’identification du gouvernement
- Informations sur les comptes financiers
- Autres éléments de données
La composition des « autres éléments de données » n’est pas claire, mais en raison du type de services qu’elle offre, DISA traite généralement des informations personnelles identifiables, des coordonnées, des antécédents professionnels et éducatifs, des vérifications criminelles et des antécédents, des données de dépistage de drogues et d’alcool, des données médicales et liées à la santé, etc.
Bien que DISA n’ait pas partagé le type de cyberattaque qu’ils ont subi, un avis maintenant supprimé indique qu’ils ont payé une demande de rançon pour empêcher la publication des données volées.
« Les données DISA n’ont pas été trouvées sur le dark Web. DISA a indiqué qu’elle « avait pris des mesures pour dissuader l’auteur de la menace de divulguer publiquement les données acquises et de confirmer la suppression des données », peut-on lire dans une copie de l’avis maintenant supprimé.
Pour protéger les personnes touchées contre les risques découlant de l’exposition des données, DISA offre 12 mois de surveillance du crédit gratuite et de service de protection contre le vol d’identité via Experian.
Il est également recommandé que les personnes potentiellement touchées envisagent de placer des alertes de fraude et des gels de sécurité sur leurs comptes par mesure de précaution.