北京
英國信息專員辦公室(ICO)近日對South Staffordshire Water Plc及其母公司South Staffordshire Plc處以96.39萬英鎊(約合130萬美元)罰款。處罰原因是該公司遭遇網絡攻擊,導致663,887名客戶和員工的個人數據泄露。
這家公司每天向160萬消費者供應3.3億升飲用水。2022年,該公司披露其IT運營遭到網絡攻擊干擾。當時,Cl0p勒索軟件團伙聲稱對此次攻擊負責(最初誤認了受害者),但該公司否認了這一說法。然而,泄露的數據樣本看起來真實可信。
ICO的調查現已確認,泄露數據確實屬于South Staffordshire Water Plc,且入侵實際上始于2020年9月。ICO在公告中表示:"我們對South Staffordshire Plc和South Staffordshire Water Plc處以96.39萬英鎊罰款,原因是嚴重的網絡攻擊導致633,887人的個人信息被提取并發布在暗網上。"公告指出:"該攻擊可追溯至2020年9月,但主要發生在2022年5月至7月之間,暴露了該公司數據安全方法的重大缺陷,使客戶和員工在近兩年時間里處于脆弱狀態。"
據ICO稱,此次泄露是通過網絡釣魚攻擊發生的,攻擊者借此在該公司系統上安裝了惡意軟件。該惡意軟件在20個月內未被發現。2022年5月至7月期間,攻擊者在South Staffordshire Plc的網絡中提升權限,獲得了域管理員訪問權限。直到2022年7月,IT性能問題觸發調查后,此次泄露才被發現。
泄露的數據包括全名、實際地址、電子郵件地址、電話號碼、出生日期、客戶賬戶憑證、銀行賬戶詳細信息,以及員工人力資源數據(如國民保險號碼)。ICO發現導致此次數據泄露事件存在多項安全漏洞,包括:防止權限提升的控制措施不足;監控僅覆蓋約5%的IT環境;使用過時軟件(如Windows Server 2003);漏洞管理不善且缺少安全補丁;缺乏定期的內部和外部安全掃描。
監管機構表示,這些漏洞違反了英國數據保護要求,因此處以罰款。初始金額更高,但由于South Staffordshire盡早承認責任、配合調查并同意不上訴和解,ICO將罰款減少了40%。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
