Il gigante dei servizi di lavanderia CSC ServiceWorks afferma che decine di migliaia di persone hanno avuto le loro informazioni personali rubate dai suoi sistemi dopo aver recentemente rivelato un attacco informatico del 2023.
La società di servizi di lavanderia con sede a New York fornisce oltre un milione di lavatrici collegate a Internet a edifici residenziali, hotel e campus universitari in Nord America ed Europa. CSC impiega anche oltre 3.200 membri del team, secondo il suo sito web.
In una notifica di violazione dei dati presentata venerdì scorso, CSC ha confermato che la violazione dei dati ha coinvolto almeno 35.340 individui, tra cui oltre cento persone nel Maine.
La notizia della violazione dei dati è l'ultimo problema di sicurezza che ha colpito CSC nel corso dell'ultimo anno, dopo che diversi ricercatori di sicurezza affermano di aver trovato vulnerabilità semplici ma critiche nella sua piattaforma di lavanderia in grado di far perdere all'azienda entrate.
Nella sua notifica di violazione dei dati, CSC ha affermato che un intruso è entrato nei suoi sistemi il 23 settembre 2023 e ha avuto accesso alla sua rete per cinque mesi fino al 4 febbraio 2024, quando l'azienda ha scoperto l'intruso. Non è noto perché l'azienda abbia impiegato diversi mesi per individuare la violazione. CSC ha impiegato fino a giugno per identificare quali dati sono stati rubati.
I dati rubati includono nomi, date di nascita, informazioni di contatto, documenti di identità governativi, come numeri di previdenza sociale e patenti di guida, informazioni finanziarie, come numeri di conto bancario, e informazioni sull'assicurazione sanitaria, comprese alcune informazioni mediche limitate.
Dato che i tipi di dati coinvolti di solito riguardano le informazioni che le aziende detengono sui propri dipendenti, come per i record aziendali e i benefit sul posto di lavoro, è plausibile che la violazione dei dati riguardi dipendenti attuali e ex di CSC, poiché ai clienti di solito non viene chiesto questo tipo di informazioni.
Per quanto riguarda CSC, l'azienda non avrebbe chiarito in nessun caso.
Lo spokesperson di CSC, Stephen Gilbert, ha rifiutato di rispondere alle domande specifiche di TechCrunch sull'incidente, incluso se la violazione riguarda dipendenti, clienti o entrambi. L'azienda non ha descritto la natura dell'attacco informatico, né se l'azienda ha ricevuto comunicazioni dal soggetto minaccioso, come una richiesta di riscatto.
CSC ha fatto parlare di sé all'inizio di quest'anno dopo aver ignorato un bug semplice scoperto da due ricercatori di sicurezza studenti che consentiva a chiunque di eseguire cicli di lavanderia gratuiti. L'azienda ha tardivamente corretto la vulnerabilità e si è scusata con i ricercatori, che hanno passato settimane cercando di avvertire l'azienda della falla.
Le scoperte hanno spinto l'azienda a istituire un programma di divulgazione delle vulnerabilità, consentendo ai futuri ricercatori di sicurezza di contattare direttamente l'azienda per segnalare privatamente bug o vulnerabilità.
Il mese scorso sono stati resi pubblici dettagli su una nuova vulnerabilità trovata nelle lavatrici ad alimentazione CSC che consentiva a chiunque di ottenere anche lavaggi gratuiti. Michael Orlitzky ha detto in un post sul blog che la vulnerabilità a livello hardware, che coinvolge il cortocircuito di due fili all'interno di una lavatrice ad alimentazione CSC, bypassa la necessità di inserire monete per far funzionare la macchina. Orlitzky dovrebbe presentare le sue scoperte alla conferenza sulla sicurezza Def Con a Las Vegas sabato.
