Het Amerikaanse dna-laboratorium DNA Diagnostics Center (DDC), dat voor mensen wereldwijd dna-tests uitvoert waaronder in Nederland, heeft een groot datalek geschikt dat zich in 2021 voordeed. Een aanvaller wist de persoonlijke gegevens van 2,1 miljoen mensen te stelen die dna-tests hadden laten uitvoeren. DDC betaalde de aanvaller uiteindelijk voor het vernietigen van de gestolen data.

De gestolen data was afkomstig van verschillende databaseservers die initieel eigendom van een ander bedrijf waren, dat in 2012 door DDC werd overgenomen. Het dna-laboratorium claimt dat het negen jaar lang niet van het bestaan van deze legacy-databases in het eigen netwerk afwist. Voordat het datalek plaatsvond had DDC wel een penetratietest laten uitvoeren, maar die richtte zich alleen op systemen met actieve klantgegevens.

Het lukte de aanvaller om op 24 mei 2021 toegang tot de servers te krijgen. Op 28 mei verstuurde de managed serviceprovider van DDC geautomatiseerde waarschuwingen dat er verdachte activiteit op het netwerk was waargenomen. Deze meldingen werden twee maanden lang verstuurd. Op 6 augustus liet de provider weten dat er malware was aangetroffen.

In september van dat jaar werd DDC door de aanvaller benaderd, die liet weten over de data van 2,1 miljoen mensen te beschikken. Het bedrijf betaalde de aanvaller vervolgens voor het vernietigen van de gegevens. Getroffen klanten werden pas eind november 2021 ingelicht. Daarop stelden de autoriteiten een onderzoek in, waaruit bleek dat er sprake was van misleiding door DDC en het niet eerlijk was over de bescherming van persoonsgegevens zoals vermeld in het privacybeleid.

"Nalatigheid is geen excuus om klantgegevens gestolen te laten worden", zegt Dave Yost, procureur-generaal van de Amerikaanse staat Ohio. DDC heeft nu een schikking met de staat getroffen van 400.000 dollar. Daarnaast moet het als onderdeel van de schikking een beveiligingsprogramma implementeren, klantgegevens adequaat beveiligen en tijdig reageren op beveiligingsmeldingen.