DISA Global Solutions, penyedia layanan skrining karyawan berbasis di AS, mengatakan mengalami pelanggaran data yang memengaruhi lebih dari 3,3 juta orang.
DISA, yang menyediakan layanan seperti pengujian narkoba dan alkohol serta pemeriksaan latar belakang kepada lebih dari 55.000 perusahaan dan sepertiga dari perusahaan Fortune 500, mengonfirmasi pelanggaran data tersebut dalam pengajuan kepada jaksa agung Maine pada hari Senin.
DISA mengatakan bahwa mereka menemukan bahwa mereka menjadi korban dari "kejadian siber" yang mempengaruhi "bagian terbatas" dari jaringannya pada tanggal 22 April 2024. Penyelidikan internal menentukan bahwa seorang peretas telah menyusup ke jaringan perusahaan pada tanggal 9 Februari 2024, di mana mereka tidak menyadari selama lebih dari dua bulan.
Dalam surat yang dikirim kepada mereka yang terkena dampak pelanggaran data, yang mencakup individu yang menjalani tes skrining karyawan, DISA mengatakan bahwa penyerang "memperoleh sebagian informasi" dari sistem mereka.
Dalam pengajuan terpisah kepada jaksa agung Massachusetts, DISA mengonfirmasi bahwa informasi yang dicuri termasuk nomor asuransi sosial individu, informasi rekening keuangan termasuk nomor kartu kredit, dan dokumen identifikasi yang dikeluarkan pemerintah. Pengajuan ini mengonfirmasi bahwa lebih dari 360.000 penduduk Massachusetts terkena dampak dari pelanggaran tersebut.
Namun, dalam surat pemberitahuan pelanggaran data mereka, DISA mengatakan bahwa mereka "tidak dapat secara pasti menentukan data spesifik yang diperoleh," menunjukkan bahwa perusahaan tidak memiliki sarana teknis, seperti log, untuk mendeteksi dengan tepat data internal mana yang diakses atau dikeluarkan.
Menurut situs web mereka, DISA mengumpulkan berbagai informasi pribadi dan sensitif, termasuk detail tentang riwayat kerja pelamar, latar belakang pendidikan, catatan kriminal, dan riwayat kredit.
Belum diketahui siapa yang berada di balik serangan cyber atau bagaimana organisasi tersebut dikompromikan. Belum jelas mengapa DISA membutuhkan waktu begitu lama untuk memberi tahu individu yang terkena dampak tentang pelanggaran tersebut.
DISA tidak segera merespons pertanyaan TechCrunch.
