Οι επιπτώσεις της παραβίασης κεφαλαίων διευρύνονται καθώς οι πελάτες μαθαίνουν για κλοπή δεδομένων
Related Posts
Ένα δεύτερο περιστατικό ασφαλείας άφησε gigabytes αρχείων εκτεθειμένα στο διαδίκτυο
Οι συνέπειες από
Το περιστατικό στον κυβερνοχώρο της Capita συνεχίζεται καθώς οι πελάτες λένε ότι ο βρετανικός γίγαντας outsourcing τους είπε να υποθέσουν ότι τα δεδομένα έχουν κλαπεί από χάκερ.
Το Universities Superannuation Scheme (USS), ο μεγαλύτερος ιδιωτικός πάροχος συντάξεων του Ηνωμένου Βασιλείου, δήλωσε την Παρασκευή ότι τα προσωπικά στοιχεία σχεδόν μισού εκατομμυρίου μελών φυλάσσονταν σε διακομιστές στους οποίους είχαν πρόσβαση κατά την πρόσφατη παραβίαση.
Το USS, το οποίο χρησιμοποιεί το διαδικτυακό σύστημα διαχείρισης συντάξεων της Capita, Hartlink, είπε ότι η Capita την ενημέρωσε στις 11 Μαΐου ότι τα προσωπικά στοιχεία 470.000 ενεργών, αναβληθέντων και συνταξιούχων μελών είχαν ενδεχομένως πρόσβαση. Αυτά τα δεδομένα περιελάμβαναν ονόματα μελών, ημερομηνίες γέννησης, αριθμούς Εθνικής Ασφάλισης και αριθμούς μελών USS.
«Ενώ η Capita δεν μπορεί επί του παρόντος να επιβεβαιώσει εάν αυτά τα δεδομένα «διήθησαν» οριστικά (δηλαδή, προσπελάστηκαν και/ή αντιγράφηκαν) από τους χάκερ, συνιστούν να εργαστούμε με την υπόθεση ότι ήταν», δήλωσε η USS
σε δήλωση
. «Αναμένουμε τη λήψη των συγκεκριμένων δεδομένων από την Capita, τα οποία με τη σειρά μας θα πρέπει να ελέγξουμε και να επεξεργαστούμε».
Η USS είπε ότι θα επικοινωνήσει με τα επηρεαζόμενα μέλη (και τους εργοδότες τους, εάν ισχύει) το συντομότερο δυνατό για να ζητήσει συγγνώμη και να παράσχει συνεχή υποστήριξη και συμβουλές.
Όταν έφτασε στο TechCrunch, η εκπρόσωπος της Capita, Elizabeth Lee, αρνήθηκε να πει σε πόσους πελάτες μπορεί να είχαν διεισδύσει δεδομένα λόγω της παραβίασης του Απριλίου ή εάν η εταιρεία διέθετε τα τεχνικά μέσα, όπως η καταγραφή, για να εντοπίσει ποια —αν υπάρχουν— δεδομένα είχαν πρόσβαση.
The Telegraph
αναφέρει ότι η επίθεση Capita επηρέασε έως και 350 εταιρικά προγράμματα συνταξιοδότησης στο Ηνωμένο Βασίλειο, «καθιστώντας το το μεγαλύτερο τέτοιου είδους hack στη βρετανική ιστορία». Άλλοι πάροχοι συντάξεων που χρησιμοποιούν το σύστημα Capita’s Hartlink περιλαμβάνουν το AT&T Pension Scheme, το Royal Mail Statutory Pension Scheme και το Wincanton Pensions.
Η Capita είπε στα μέσα Απριλίου ότι τα δεδομένα των πελατών ενδέχεται να είχαν παραβιαστεί, αλλά πρόσθεσε ότι είχε μόνο στοιχεία για «περιορισμένη» απώλεια πληροφοριών που «μπορεί να περιλαμβάνουν δεδομένα πελατών, προμηθευτών ή συναδέλφων».
Ενώ η Capita ισχυρίζεται ότι η απώλεια δεδομένων ήταν «περιορισμένη», μια μη δημόσια σελίδα στον ιστότοπο διαρροής της ρωσόφωνης συμμορίας ransomware Black Basta, που είδε το TechCrunch, έδειξε δείγματα των κλεμμένων δεδομένων Capita, τα οποία περιλάμβαναν στοιχεία τραπεζικού λογαριασμού, φωτογραφίες διαβατηρίου και άδειες οδήγησης και τα προσωπικά δεδομένα των εκπαιδευτικών που υποβάλλουν αίτηση για εργασία στα σχολεία. Αυτά τα αρχεία δεν έχουν ακόμη κοινοποιηθεί δημόσια από τον Black Basta και δεν είναι γνωστό εάν καταβλήθηκαν λύτρα.
Δεύτερο περιστατικό ασφαλείας
Η Capita επιβεβαίωσε ένα δεύτερο περιστατικό κυβερνοασφάλειας τον Μάιο.
Η TechCrunch έμαθε ότι η εταιρεία με έδρα το Λονδίνο άφησε 3.000 αρχεία, συνολικού μεγέθους 655 gigabyte, εκτεθειμένα στο διαδίκτυο από το 2016. Εκείνη την εποχή, η Capita είπε στο TechCrunch ότι ο μη ασφαλής κάδος περιείχε «πληροφορίες όπως σημειώσεις έκδοσης και οδηγούς χρήσης, που είναι συνήθως δημοσιεύονται παράλληλα με εκδόσεις λογισμικού σύμφωνα με την τυπική πρακτική του κλάδου.»
Ωστόσο, το Δημοτικό Συμβούλιο του Κόλτσεστερ την Παρασκευή
επιβεβαιωμένος
ότι πρόσφατα έμαθε για «την μη ασφαλή αποθήκευση προσωπικών δεδομένων από τον ανάδοχο χρηματοοικονομικών υπηρεσιών της, Capita». Ανέφερε ότι το σφάλμα ασφαλείας, το οποίο «επηρέασε πολλές άλλες τοπικές αρχές σε όλη τη χώρα», σχετίζεται με ιστορικά δεδομένα, αν και δεν είναι γνωστό ποια ακριβώς δεδομένα αποκαλύφθηκαν ή αν το περιστατικό σχετίζεται με την παραβίαση δεδομένων τον Μάιο.
Ο Scott Collins, εκπρόσωπος του Δημοτικού Συμβουλίου του Κόλτσεστερ, επιβεβαίωσε στο TechCrunch ότι η δήλωση του συμβουλίου σχετίζεται με την έκθεση δεδομένων του Capita τον Μάιο και τα στιγμιότυπα οθόνης των δεδομένων δείχνουν ότι δεδομένα που σχετίζονται με το Δημοτικό Συμβούλιο του Κόλτσεστερ συμπεριλήφθηκαν στον κάδο AWS, ο οποίος έκτοτε έχει ασφαλιστεί .
Στη δήλωσή του την Παρασκευή, ο επικεφαλής επιχειρησιακός διευθυντής του Δημοτικού Συμβουλίου του Κόλτσεστερ, Ρίτσαρντ Μπλοκ, δήλωσε ότι το συμβούλιο ήταν «εξαιρετικά απογοητευμένο» για την παραβίαση δεδομένων και «εξετάζει το θέμα με σθεναρά τη Capita». Ο Collins πρόσθεσε ότι η εταιρεία δεν γνωρίζει ακόμη την «πλήρη έκταση της παραβίασης, ούτε τους ακριβείς αριθμούς που εμπλέκονται».
Η Capita δεν απάντησε στις ερωτήσεις της TechCrunch σχετικά με τη δεύτερη παραβίαση δεδομένων.
