İngiltere'de faaliyet gösteren South Staffordshire Water, yaşadığı büyük bir veri ihlali nedeniyle Veri Koruma Otoritesi (ICO) tarafından yaklaşık 1 milyon sterlin (1,4 milyon dolar) para cezasına çarptırıldı. İki yıl süren olayda, 633 binden fazla kişinin kişisel bilgileri çalındı. Şirket ve ana şirketi South Staffordshire PLC, cezaya itiraz etmemek karşılığında orijinal 1,6 milyon sterlinlik cezanın yüzde 40 daha düşüğünü ödemeyi kabul etti.
Saldırı, 11 Eylül 2020'de başarılı bir phishing e-postasıyla başladı. Bu e-posta, Get2 indiricisi ve SDBbot uzaktan erişim truva atının (RAT) sisteme yüklenmesine yol açtı. Ancak ağa sızma tam iki yıl boyunca fark edilmedi. 17 Mayıs 2022'de tehdit aktörü, bir alan yöneticisi hesabı ve uzak masaüstü protokolü kullanarak su şirketinin ağında yanal hareket etmeye başladı ve 4 Ağustos'a kadar 20 farklı uç noktaya erişti. İhlal, ancak 15 Temmuz 2022'de planlanmamış veritabanı dışa aktarımlarının neden olduğu performans sorunları üzerine yapılan soruşturma sonucu ortaya çıktı.
Tehdit aktörü, South Staffordshire Water'dan 4,1 TB veri çaldığını iddia etti. Bu veriler, 633.887 mevcut ve eski müşteri ile çalışana ait olup, şirketin elindeki tüm kişisel bilgilerin yaklaşık üçte birini oluşturuyor. ICO'ya göre çalınan veriler arasında tam ad, fiziksel ve e-posta adresi, doğum tarihi, cinsiyet, telefon numarası gibi kişisel detaylar; çalışanlara ait Ulusal Sigorta numaraları; müşteri hesap bilgileri, banka hesap numarası ve sort kodu; ve engellilik durumunun anlaşılabileceği Öncelikli Hizmet Kaydı'ndaki müşterilere ait bilgiler yer alıyor. Çalınan veriler karanlık ağda yayınlandı.
Nasıl Önlem Alınmalı?
ICO, şirketin güvenlik duruşunda birden fazla eksiklik tespit etti: en az ayrıcalık politikasının uygulanmaması, yetersiz izleme ve kayıt tutma (BT ortamının sadece %5'i izleniyordu), Windows Server 2003 gibi desteklenmeyen eski yazılımların kullanımı, yama yapılmamış kritik sistemler ve düzenli güvenlik taramalarının yapılmaması. ICO'nun geçici düzenleyici denetim direktörü Ian Hulme, su müşterilerinin şirket seçme şansı olmadığı için tedarikçilerin veri koruma sorumluluklarını ciddiye alması gerektiğini vurguladı. ICO, bu olayın kritik altyapı sektöründe çalışan güvenlik profesyonelleri için önemli dersler içerdiğini belirterek, kuruluşları kendi dayanıklılık durumlarını gözden geçirmeye çağırdı.