北京
英國信息專員辦公室(ICO)近日對South Staffordshire Water Plc及其母公司South Staffordshire Plc處以96.39萬英鎊(約合130萬美元)罰款。處罰原因是該公司遭遇網(wǎng)絡(luò)攻擊,導(dǎo)致663,887名客戶和員工的個人數(shù)據(jù)泄露。
這家公司每天向160萬消費(fèi)者供應(yīng)3.3億升飲用水。2022年,該公司披露其IT運(yùn)營遭到網(wǎng)絡(luò)攻擊干擾。當(dāng)時,Cl0p勒索軟件團(tuán)伙聲稱對此次攻擊負(fù)責(zé)(最初誤認(rèn)了受害者),但該公司否認(rèn)了這一說法。然而,泄露的數(shù)據(jù)樣本看起來真實(shí)可信。
ICO的調(diào)查現(xiàn)已確認(rèn),泄露數(shù)據(jù)確實(shí)屬于South Staffordshire Water Plc,且入侵實(shí)際上始于2020年9月。ICO在公告中表示:"我們對South Staffordshire Plc和South Staffordshire Water Plc處以96.39萬英鎊罰款,原因是嚴(yán)重的網(wǎng)絡(luò)攻擊導(dǎo)致633,887人的個人信息被提取并發(fā)布在暗網(wǎng)上。"公告指出:"該攻擊可追溯至2020年9月,但主要發(fā)生在2022年5月至7月之間,暴露了該公司數(shù)據(jù)安全方法的重大缺陷,使客戶和員工在近兩年時間里處于脆弱狀態(tài)。"
據(jù)ICO稱,此次泄露是通過網(wǎng)絡(luò)釣魚攻擊發(fā)生的,攻擊者借此在該公司系統(tǒng)上安裝了惡意軟件。該惡意軟件在20個月內(nèi)未被發(fā)現(xiàn)。2022年5月至7月期間,攻擊者在South Staffordshire Plc的網(wǎng)絡(luò)中提升權(quán)限,獲得了域管理員訪問權(quán)限。直到2022年7月,IT性能問題觸發(fā)調(diào)查后,此次泄露才被發(fā)現(xiàn)。
泄露的數(shù)據(jù)包括全名、實(shí)際地址、電子郵件地址、電話號碼、出生日期、客戶賬戶憑證、銀行賬戶詳細(xì)信息,以及員工人力資源數(shù)據(jù)(如國民保險號碼)。ICO發(fā)現(xiàn)導(dǎo)致此次數(shù)據(jù)泄露事件存在多項(xiàng)安全漏洞,包括:防止權(quán)限提升的控制措施不足;監(jiān)控僅覆蓋約5%的IT環(huán)境;使用過時軟件(如Windows Server 2003);漏洞管理不善且缺少安全補(bǔ)丁;缺乏定期的內(nèi)部和外部安全掃描。
監(jiān)管機(jī)構(gòu)表示,這些漏洞違反了英國數(shù)據(jù)保護(hù)要求,因此處以罰款。初始金額更高,但由于South Staffordshire盡早承認(rèn)責(zé)任、配合調(diào)查并同意不上訴和解,ICO將罰款減少了40%。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
