北京
英国信息专员办公室(ICO)近日对South Staffordshire Water Plc及其母公司South Staffordshire Plc处以96.39万英镑(约合130万美元)罚款。处罚原因是该公司遭遇网络攻击,导致663,887名客户和员工的个人数据泄露。
这家公司每天向160万消费者供应3.3亿升饮用水。2022年,该公司披露其IT运营遭到网络攻击干扰。当时,Cl0p勒索软件团伙声称对此次攻击负责(最初误认了受害者),但该公司否认了这一说法。然而,泄露的数据样本看起来真实可信。
ICO的调查现已确认,泄露数据确实属于South Staffordshire Water Plc,且入侵实际上始于2020年9月。ICO在公告中表示:"我们对South Staffordshire Plc和South Staffordshire Water Plc处以96.39万英镑罚款,原因是严重的网络攻击导致633,887人的个人信息被提取并发布在暗网上。"公告指出:"该攻击可追溯至2020年9月,但主要发生在2022年5月至7月之间,暴露了该公司数据安全方法的重大缺陷,使客户和员工在近两年时间里处于脆弱状态。"
据ICO称,此次泄露是通过网络钓鱼攻击发生的,攻击者借此在该公司系统上安装了恶意软件。该恶意软件在20个月内未被发现。2022年5月至7月期间,攻击者在South Staffordshire Plc的网络中提升权限,获得了域管理员访问权限。直到2022年7月,IT性能问题触发调查后,此次泄露才被发现。
泄露的数据包括全名、实际地址、电子邮件地址、电话号码、出生日期、客户账户凭证、银行账户详细信息,以及员工人力资源数据(如国民保险号码)。ICO发现导致此次数据泄露事件存在多项安全漏洞,包括:防止权限提升的控制措施不足;监控仅覆盖约5%的IT环境;使用过时软件(如Windows Server 2003);漏洞管理不善且缺少安全补丁;缺乏定期的内部和外部安全扫描。
监管机构表示,这些漏洞违反了英国数据保护要求,因此处以罚款。初始金额更高,但由于South Staffordshire尽早承认责任、配合调查并同意不上诉和解,ICO将罚款减少了40%。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
