A Information Commissioner’s Office (ICO), autoridade britânica de proteção de dados, aplicou uma multa de £963.900 (aproximadamente US$ 1,3 milhão) à South Staffordshire Water Plc e à sua controladora, South Staffordshire Plc, após um cyberattack que comprometeu dados pessoais de 663.887 clientes e funcionários.
A South Staffordshire Water fornece diariamente cerca de 330 milhões de litros de água potável para 1,6 milhão de consumidores no Reino Unido e havia divulgado, em 2022, que sofreu um ataque cibernético que impactou suas operações de TI.
Na época, a empresa minimizou alegações da gangue de ransomware Cl0p, que reivindicou a autoria do ataque, embora amostras de dados vazados já indicassem autenticidade. Agora, a investigação conduzida pela ICO confirmou que os dados publicados eram legítimos e pertenciam à companhia, além de revelar que o comprometimento inicial ocorreu ainda em setembro de 2020.
Segundo o órgão regulador, o ataque teve início por meio de uma campanha de phishing, que permitiu aos invasores instalar malware na infraestrutura da empresa. O código malicioso permaneceu sem detecção por aproximadamente 20 meses.
Entre maio e julho de 2022, os threat actors conseguiram escalar privilégios dentro da rede corporativa e obtiveram acesso como domain administrator, ampliando significativamente o impacto da violação. A intrusão só foi identificada em julho de 2022, após problemas de desempenho nos sistemas de TI levarem à abertura de uma investigação interna.
Os dados expostos incluíram nomes completos, endereços residenciais, e-mails, números de telefone, datas de nascimento, credenciais de contas de clientes, informações bancárias e registros de recursos humanos de funcionários, incluindo números de National Insurance.
A ICO destacou diversas falhas críticas de segurança que contribuíram para o incidente, como controles insuficientes contra privilege escalation, monitoramento limitado a apenas cerca de 5% do ambiente de TI, uso de sistemas obsoletos como Windows Server 2003, gestão inadequada de vulnerabilidades, ausência de patches de segurança e falta de varreduras regulares de segurança internas e externas.
De acordo com o regulador, essas deficiências representaram violações significativas das exigências de proteção de dados do Reino Unido, justificando a penalidade financeira.
Embora a multa inicial prevista fosse maior, o valor foi reduzido em 40% após a South Staffordshire reconhecer responsabilidade antecipadamente, cooperar com as investigações e concordar com um acordo sem recorrer da decisão.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...