总部位于美国的DNA检测服务机构DNA诊断中心(DDC)在2021年11月遭遇数据泄露，黑客设法访问了高度敏感的用户个人数据，包括支付卡详细信息。

DNA诊断中心(DDC)已同意支付400000美元，以了结宾夕法尼亚州和俄亥俄州总检察长在2021年数据泄露事件影响210万人后对其提起的诉讼。

据报道，此次违规最初发生在2021年5月，但该公司当时没有采取任何进一步行动。只有当DDC的托管服务提供商再次联系并通知该公司其网络上存在Cobalt Strike恶意软件的证据时，该公司才采取行动保护其系统。

然而，到那时，一名黑客已经从超过2102436名客户那里获取了数据。该数据包括来自俄亥俄州和宾夕法尼亚州的45000名客户的社会安全号码。

被盗数据属于DDC在2012年从另一家DNA测试公司Orchid Cellmark收购后继承的遗留数据库。

DDC声称它不知道该数据库在其系统中的存在，尽管该公司进行了库存评估和渗透测试，但遗留数据库并未出现。

这种疏忽导致威胁行为者访问了28个数据库，其中包含2004年至2012年间接受过基因检测的人的个人身份信息(PII)。在有关数据泄露的消息出现后，俄亥俄州和宾夕法尼亚州起诉了该公司。

“疏忽不是让消费者数据被盗的借口，”俄亥俄州总检察长戴夫·约斯特(Dave Yost)谈到该事件时说。“我们很自豪能与宾夕法尼亚州合作，确保公民的个人数据保密——这是消费者的期望。”

“这些罪犯获得的个人信息越多，信息被盗的人就越容易受到伤害，”宾夕法尼亚州代理司法部长米歇尔·A·亨利说。“这就是为什么我的办公室在俄亥俄州总检察长约斯特的协助下采取行动的原因。”

作为和解的一部分，DDC同意改进其安全实践，聘请首席信息安全官(CISO)监督其安全部门，定期进行安全风险评估，维护更新的资产清单并制定应对安全威胁的计划在网络上。