英国因供水商泄露 66.4 万客户数据，罚款 130 万美元

英国信息专员办公室（ICO）对南斯塔福德郡水务公司（South Staffordshire Water Plc）及其母公司南斯塔福德郡公司（South Staffordshire Plc）处以 96.39 万英镑（130 万美元）的罚款，原因是一场网络攻击导致 663,887 名客户和员工的个人数据泄露。

该公司每天为 160 万消费者供应 3.3 亿升饮用水。2022 年，该公司披露其成为一起网络攻击的目标，此次攻击扰乱了其信息技术运营。

当时，克洛普（Cl0p）勒索软件团伙宣称对此次攻击负责（最初认错了攻击目标），但该公司对此予以否认，不过泄露的数据样本看起来是真实的。

ICO 的调查现已证实，泄露的数据确实来自南斯塔福德郡水务公司，且此次数据泄露实际上始于 2020 年 9 月。

ICO 发布的公告称：“在一场严重的网络攻击导致 633,887 人的个人信息被窃取并发布到暗网后，我们对南斯塔福德郡公司和南斯塔福德郡水务公司（统称南斯塔福德郡公司）处以 96.39 万英镑的罚款。”

“此次攻击可追溯至 2020 年 9 月，但主要发生在 2022 年 5 月至 7 月之间，暴露出该公司在数据安全方面存在严重漏洞，使得客户和员工在近两年时间内面临风险。”

据 ICO 称，此次数据泄露源于一次网络钓鱼攻击，攻击者借此在该公司系统中安装了恶意软件，且该恶意软件在 20 个月内未被发现。

2022 年 5 月至 7 月期间，攻击者在南斯塔福德郡公司的网络中提升权限，获得了域管理员访问权限。

直到 2022 年 7 月，因信息技术性能问题引发调查，此次数据泄露才被发现。

泄露的数据包括全名、实际地址、电子邮件地址、电话号码、出生日期、客户账户凭证、银行账户信息，以及员工人力资源数据，如国民保险号码。

ICO 发现了导致此次数据泄露事件的多项安全漏洞，包括：

• 缺乏足够的控制措施防止权限提升；

• 监控仅覆盖约 5% 的信息技术环境；

• 使用过时软件，如 Windows Server 2003；

• 漏洞管理不善，缺少安全补丁；

• 缺乏定期的内部和外部安全扫描。

监管机构表示，这些漏洞违反了英国的数据保护要求，因此予以罚款。

最初的罚款金额更高，但由于南斯塔福德郡公司提前承认责任，配合调查并同意不上诉，ICO 将罚款金额降低了 40%。