Le Bureau du commissaire à l’information du Royaume-Uni (ICO) a infligé une amende de 963 900 £ (1,3 million de dollars) à South Staffordshire Water et à la société mère South Staffordshire Plc suite à une cyberattaque qui a révélé les données personnelles de plus de 633 000 clients et employés.
Selon l’ICO, les attaquants ont d’abord accédé aux systèmes de l’entreprise en septembre 2020 via un courriel de phishing contenant une pièce jointe malveillante. Le malware est resté indétecté dans le réseau pendant environ 20 mois avant que les attaquants n’augmentent les privilèges et ne s’enfoncent plus profondément dans les systèmes de l’entreprise entre mai et juillet 2022.
La faille n’a été découverte qu’après que des problèmes de performance informatique ont déclenché une enquête interne en juillet 2022. Quelques jours plus tard, l’entreprise a trouvé une lettre de rançon que les assaillants avaient tenté de distribuer aux employés.
Les chercheurs ont ensuite confirmé que plus de 4,1 téraoctets de données avaient été publiés sur le dark web. Les informations exposées comprenaient les noms des clients, les adresses physiques, les adresses e-mail, les numéros de téléphone, les dates de naissance, les noms d’utilisateur, les mots de passe des services en ligne, les numéros de compte bancaire et les codes de tri. Les données des employés comprenaient également les dossiers RH et les numéros d’assurance nationale.
L’ICO a indiqué que l’incident révélait de multiples défaillances de sécurité au sein de l’infrastructure de l’entreprise. Cela incluait des systèmes de surveillance inadéquats, des contrôles de privilèges faibles, des logiciels obsolètes et de mauvaises pratiques de gestion des vulnérabilités. Au moment de l’attaque, seulement environ 5 % de l’environnement informatique de l’entreprise était activement surveillé. Certains systèmes fonctionnaient encore sous Windows Server 2003, qui avait perdu un support prolongé des années auparavant.
Les régulateurs ont également constaté que des vulnérabilités critiques restaient non corrigées, y compris la faille ZeroLogon que les attaquants ont ensuite exploitée pour obtenir des privilèges d’administrateur de domaine. L’ICO a indiqué que l’entreprise n’avait pas effectué d’analyses de vulnérabilités internes ou externes régulières pendant la période où les attaquants étaient restés à l’intérieur du réseau.
La cyberattaque était liée au groupe de ransomware Cl0p, bien que le groupe ait initialement identifié à tort la victime publiquement comme Thames Water. South Staffordshire a ensuite confirmé que les systèmes d’approvisionnement en eau opérationnels n’avaient pas été affectés et que les services d’eau potable avaient continué normalement pendant l’incident.
L’ICO avait initialement prévu une pénalité financière plus importante, mais a réduit le montant de 40 % après que South Staffordshire a reconnu sa responsabilité tôt en avance, coopéré avec les enquêteurs et accepté de ne pas faire appel de la décision.
Ian Hulme, directeur exécutif par intérim de l’ICO, a critiqué les capacités de détection différée de l’entreprise, déclarant qu’attendre des problèmes de performance ou des notes de rançon pour identifier les violations était inacceptable.