Skalbimo milžinė „CSC ServiceWorks“ teigia, kad dešimtys tūkstančių žmonių iš jos sistemų buvo pavogta asmenine informacija, neseniai atskleidus 2023 m. kibernetinę ataką.
Niujorke įsikūrusi skalbyklos milžinė teikia daugiau nei milijoną prie interneto prijungtų skalbimo mašinų gyvenamiesiems pastatams, viešbučiams ir universitetų miesteliams visoje Šiaurės Amerikoje ir Europoje. CSC taip pat dirba daugiau nei 3200 komandos narių, teigiama jos svetainėje.
Vėlyvą penktadienį pateiktame pranešime apie duomenų pažeidimą CSC patvirtino, kad duomenų pažeidimas paveikė mažiausiai 35 340 asmenų, įskaitant daugiau nei šimtą žmonių Meine.
Naujienos apie duomenų pažeidimą yra naujausia saugumo problema, sukėlusi CSC per pastaruosius metus, po to, kai keli saugumo tyrinėtojai teigė aptikę paprastų, bet svarbių jos skalbyklų platformos spragų, galinčių prarasti įmonės pajamas.
Pranešime apie duomenų pažeidimą CSC nurodė, kad įsibrovėlis įsibrovė į jos sistemas 2023 m. rugsėjo 23 d. ir turėjo prieigą prie tinklo penkis mėnesius iki 2024 m. vasario 4 d., kai įmonė aptiko įsibrovėlį. Nežinia, kodėl įmonei prireikė kelių mėnesių, kad nustatytų pažeidimą. CSC nurodė, kad nustatyti, kokie duomenys buvo pavogti, prireikė iki birželio mėn.
Pavogti duomenys apima vardus; gimimo datos; kontaktinė informacija; valstybiniai asmens dokumentai, pvz., socialinio draudimo ir vairuotojo pažymėjimo numeriai; finansinė informacija, pvz., banko sąskaitų numeriai; ir sveikatos draudimo informacija, įskaitant tam tikrą ribotą medicininę informaciją.
Atsižvelgiant į tai, kad naudojami duomenų tipai paprastai yra susiję su informacija, kurią įmonės turi apie savo darbuotojus, pvz., apie verslo įrašus ir išmokas darbo vietoje, tikėtina, kad duomenų pažeidimas paveiks esamus ir buvusius CSC darbuotojus, nes klientų paprastai šios informacijos neprašoma. .
Savo ruožtu CSC nepaaiškins nei vieno, nei kito.
CSC atstovas Stephenas Gilbertas atsisakė atsakyti į konkrečius „TechCrunch“ klausimus apie incidentą, įskaitant tai, ar pažeidimas paveikė darbuotojus, klientus ar abu. Bendrovė neaprašys kibernetinės atakos pobūdžio ir to, ar bendrovė gavo kokių nors pranešimų iš grėsmės veikėjo, pavyzdžiui, reikalavimo sumokėti išpirką.
Šių metų pradžioje CSC pateko į antraštes po to, kai nepaisė dviejų studentų saugumo tyrinėtojų aptiktos paprastos klaidos, kuri leido bet kam paleisti nemokamus skalbimo ciklus. Bendrovė pavėluotai pataisė pažeidžiamumą ir atsiprašė tyrėjų, kurie praleido kelias savaites bandydami įspėti įmonę apie trūkumą.
Išvados paskatino bendrovę sukurti pažeidžiamumo atskleidimo programą, leidžiančią būsimiems saugumo tyrinėtojams tiesiogiai susisiekti su įmone ir privačiai pranešti apie klaidas ar pažeidžiamumą.
Praėjusį mėnesį buvo paviešinta informacija apie naują CSC varomų skalbimo mašinų pažeidžiamumą, leidžiantį visiems nemokamai gauti skalbinių. Michaelas Orlitzky tinklaraščio įraše teigė, kad aparatinės įrangos lygio pažeidžiamumas, susijęs su dviejų laidų trumpuoju jungimu CSC varomoje skalbimo mašinoje, aplenkia poreikį įvesti monetas norint valdyti mašiną. Orlitzky turi pristatyti savo išvadas Def Con saugumo konferencijoje Las Vegase šeštadienį.