Fornecedora de Água do Reino Unido Multada em US$ 1,3 Milhão Após Ataque Cibernético Expor Dados de Clientes
O **Information Commissioner's Office (ICO)** do Reino Unido aplicou uma multa significativa à **South Staffordshire Water Plc** e sua empresa controladora, **South Staffordshire Plc**, após um ataque cibernético em 2022. O ataque resultou na exposição de dados pessoais de mais de 663.000 clientes e funcionários, destacando falhas críticas nas práticas de segurança de dados da empresa.
### O Ataque e Seu Impacto
A **South Staffordshire Water**, que fornece água potável para 1,6 milhão de consumidores diariamente, divulgou um ataque cibernético em 2022 que interrompeu as operações de TI. Embora inicialmente tenha minimizado as alegações do grupo de ransomware **Cl0p** (que inicialmente identificou mal sua vítima), a investigação do ICO confirmou a autenticidade dos dados vazados, rastreando o comprometimento inicial até setembro de 2020.
O anúncio do ICO declarou: "Multamos a South Staffordshire Plc e a South Staffordshire Water Plc (juntas South Staffordshire) em £ 963.900 após um sério ataque cibernético que resultou na extração e publicação de informações pessoais de 633.887 pessoas na dark web."
De acordo com o ICO, os atacantes obtiveram acesso por meio de um ataque de phishing, instalando malware que permaneceu indetectado por 20 meses. Entre maio e julho de 2022, eles escalaram privilégios e obtiveram acesso de administrador de domínio. A violação só foi descoberta em julho de 2022 devido a problemas de desempenho de TI.
Os dados comprometidos incluíam nomes completos, endereços, endereços de e-mail, números de telefone, datas de nascimento, credenciais de conta de cliente, detalhes de conta bancária e dados de RH de funcionários, incluindo números do National Insurance.
### Falhas de Segurança Identificadas
O ICO identificou várias falhas críticas de segurança que contribuíram para a exposição dos dados:
* Controles insuficientes para prevenir escalonamento de privilégios
* Monitoramento cobrindo apenas aproximadamente 5% do ambiente de TI
* Uso de software obsoleto, como **Windows Server 2003**
* Má gestão de vulnerabilidades e falta de patches de segurança
* Falta de varreduras de segurança internas e externas regulares
Essas falhas constituíram uma clara violação das regulamentações de proteção de dados do Reino Unido, levando à substancial multa. A multa inicial foi reduzida em 40% devido à **South Staffordshire** admitir a responsabilidade, cooperar com a investigação e concordar em resolver sem apelação.
