CSC ServiceWorks enthüllt 2023 Datenlecks, das Tausende von Menschen betrifft
Die Wäschegigant CSC ServiceWorks gab bekannt, dass Zehntausende von Menschen persönliche Informationen aus ihren Systemen gestohlen wurden, nachdem sie kürzlich einen Cyberangriff von 2023 offengelegt hatten.
Der in New York ansässige Wäschegigant stellt über eine Million internetfähige Waschmaschinen für Wohngebäude, Hotels und Universitätscampusse in Nordamerika und Europa bereit. Laut ihrer Website beschäftigt CSC auch mehr als 3.200 Teammitglieder.
In einer spät eingereichten Benachrichtigung über das Datenleck bestätigte CSC, dass das Datenleck mindestens 35.340 Personen, darunter über hundert Personen in Maine, betraf.
Die Nachricht über das Datenleck ist das neueste Sicherheitsproblem, das CSC im letzten Jahr heimsucht, nachdem mehrere Sicherheitsforscher sagte, dass sie einfache, aber kritische Schwachstellen in ihrer Wäscheplattform gefunden haben, die dem Unternehmen Einnahmen kosten konnten.
In seiner Benachrichtigung über das Datenleck gibt CSC an, dass ein Eindringling am 23. September 2023 in seine Systeme eingedrungen ist und bis zum 4. Februar 2024 Zugriff auf sein Netzwerk hatte, als das Unternehmen den Eindringling entdeckte. Es ist nicht bekannt, warum das Unternehmen mehrere Monate gebraucht hat, um das Datenleck zu erkennen. CSC sagte, es habe bis Juni gedauert, um festzustellen, welche Daten gestohlen wurden.
Die gestohlenen Daten umfassen Namen, Geburtsdaten, Kontaktdaten, Regierungsidentitätsdokumente wie Sozialversicherungs- und Führerscheinnummern, Finanzinformationen wie Kontonummern und Krankenversicherungsinformationen, einschließlich einiger begrenzter medizinischer Informationen.
Da die betroffenen Datenarten in der Regel mit den Informationen zusammenhängen, die Unternehmen über ihre Mitarbeiter halten, z. B. für Geschäftsakten und Arbeitsplatzleistungen, ist es plausibel, dass das Datenleck aktuelle und ehemalige Mitarbeiter von CSC betrifft, da Kunden normalerweise nicht nach diesen Informationen gefragt werden.
CSC wollte hierzu keine Klärung vornehmen.
CSC-Sprecher Stephen Gilbert lehnte es ab, spezifische Fragen von TechCrunch zu dem Vorfall zu beantworten, darunter, ob das Leck Mitarbeiter, Kunden oder beides betrifft. Das Unternehmen würde die Art des Cyberangriffs nicht beschreiben oder ob das Unternehmen Informationen von den Tätern erhalten hat, wie etwa eine Lösegeldforderung.
CSC machte Anfang dieses Jahres Schlagzeilen, nachdem es einen einfachen Fehler ignoriert hatte, den zwei Studentensicherheitsforscher entdeckt hatten, der es jedermann ermöglichte, kostenlose Waschzyklen durchzuführen. Das Unternehmen hat die Schwachstelle verspätet gepatcht und sich bei den Forschern entschuldigt, die Wochen damit verbracht hatten, das Unternehmen auf den Fehler aufmerksam zu machen.
Die Ergebnisse veranlassten das Unternehmen, ein Programm zur Schwachstellenmeldung einzurichten, das es zukünftigen Sicherheitsforschern ermöglicht, das Unternehmen direkt zu kontaktieren, um Fehler oder Schwachstellen privat zu melden.
Im letzten Monat wurden Details zu einer neuen Schwachstelle in von CSC betriebenen Waschmaschinen bekannt, die es jedem ermöglicht, auch kostenlose Wäsche zu erhalten. Michael Orlitzky sagte in einem Blogbeitrag, dass die hardwareseitige Schwachstelle, die darin besteht, zwei Drähte innerhalb einer von CSC betriebenen Waschmaschine kurz zu schließen, umgeht die Notwendigkeit, Münzen einzulegen, um die Maschine zu betreiben. Orlitzky wird seine Ergebnisse auf der Def Con Sicherheitskonferenz in Las Vegas am Samstag präsentieren.
