Royaume-Uni : amende de 1,3 million de dollars à un fournisseur d'eau pour fuite de données de 664 000 clients

L’Information Commissioner’s Office a infligé une amende de 963 900 livres (1,3 million de dollars) à South Staffordshire Water Plc et à sa société mère South Staffordshire Plc après une cyberattaque qui a exposé les données personnelles de 663 887 clients et employés.

Cette entreprise fournit 330 millions de litres d’eau potable chaque jour à 1,6 million de consommateurs. En 2022, elle a révélé qu’une cyberattaque perturba ses opérations informatiques.

Le gang de ransomwares Cl0p avait revendiqué l’attaque, mais il avait d’abord identifié par erreur sa victime. Les échantillons de données divulguées paraissaient authentiques.

L’enquête de l’ICO confirme que ces données proviennent bien de South Staffordshire Water Plc. La compromission remonte en réalité à septembre 2020.

L’attaque débute par une opération de phishing qui permet aux assaillants d’installer un malware sur les systèmes de l’entreprise. Ce logiciel malveillant échappe à la détection pendant 20 mois.

Entre mai et juillet 2022, l’attaquant escalade ses privilèges sur le réseau de South Staffordshire Plc et obtient un accès d’administrateur de domaine.

L’entreprise découvre la brèche en juillet 2022, car des problèmes de performance informatique déclenchent une enquête.

Les données volées comprennent les noms complets, adresses physiques, adresses e-mail, numéros de téléphone, dates de naissance, identifiants de comptes clients, détails de comptes bancaires et données RH des employés, comme les numéros d’assurance nationale.

L’ICO identifie plusieurs failles de sécurité à l’origine de cette exposition :

Contrôles insuffisants contre l’escalade de privilèges
Surveillance limitée à 5 % de l’environnement informatique
Utilisation de logiciels obsolètes, comme Windows Server 2003
Gestion défaillante des vulnérabilités et absence de correctifs de sécurité
Absence de scans internes et externes réguliers

Ces manquements violent les règles britanniques de protection des données, ce qui justifie l’amende. Le montant initial diminue de 40 %, car South Staffordshire admet sa responsabilité dès le début, coopère à l’enquête et accepte un règlement sans appel.

Royaume-Uni : amende de 1,3 million de dollars à un fournisseur d’eau pour fuite de données de 664 000 clients

R9 Pro de retour en stock : pourquoi tout le monde s’arrache ce purificateur d’eau

MacBook Neo + AirPods 4 à prix cassé grâce à ce code réduction Cdiscount

EZVIZ EP8 Ultra : Sonnette connectée avatar double objectif qui surveille même les colis

Astronautes de la Station spatiale internationale contraints de se réfugier suite à une fuite d’air alarmante

Google va lâcher 64 millions de moustiques pour tuer… les moustiques

Envoyez vos courriels directement via ChatGPT

Groupe de rançon silencieux cible les cabinets d’avocats par des appels de support informatique factices

Le botnet C0XMO exploite une faille des routeurs DD-WRT pour se propager et éliminer les logiciels malveillants concurrents

TEST Reolink Home Hub : L’enregistrement de vos caméras Wi-Fi sans abonnement

TEST Reolink Solar Floodlight Cam : Caméra de sécurité Wi-Fi solaire éblouissante et dissuadante

TEST JIMMY Matrix M9 Pro + S9 : Eau purifiée, chaude ou gazeuse en quelques secondes