Raksasa dobi CSC ServiceWorks mengatakan bahawa puluhan ribu orang telah memiliki maklumat peribadi mereka dirampas dari sistemnya selepas baru-baru ini mendedahkan serangan siber dari tahun 2023.
Raksasa dobi yang berpusat di New York menyediakan lebih dari sejuta mesin dobi yang bersambungan internet kepada bangunan kediaman, hotel, dan kampus universiti di sekitar Amerika Utara dan Eropah. CSC juga mempekerjakan lebih dari 3,200 anggota pasukannya, menurut laman webnya.
Dalam pemberitahuan pelanggaran data yang disampaikan pada Jumaat lewat, CSC mengesahkan bahawa pelanggaran data menjejaskan sekurang-kurangnya 35,340 individu, termasuk lebih seratus orang di Maine.
Berita tentang pelanggaran data adalah isu keselamatan terkini yang menimpa CSC dalam setahun yang lalu, setelah beberapa penyelidik keselamatan berkata mereka menemui kebolehlancaran asas tetapi penting dalam platform dobi mereka yang boleh menyebabkan kehilangan pendapatan syarikat.
Dalam notis pelanggaran data, CSC mengatakan seorang penyusup merompak masuk ke sistemnya pada 23 September 2023 dan mempunyai akses ke rangkaian itu selama lima bulan sehingga 4 Februari 2024, apabila syarikat itu mengetahui penyusup itu. Tidak diketahui mengapa syarikat itu mengambil beberapa bulan untuk mengesan pelanggaran itu. CSC mengatakan mengambil masa hingga Jun untuk mengenal pasti data yang dirampas.
Data yang dirampas termasuk nama; tarikh lahir; maklumat hubungan; dokumen identiti kerajaan, seperti nombor Insurans Sosial dan lesen memandu; maklumat kewangan, seperti nombor akaun bank; dan maklumat insurans kesihatan, termasuk beberapa maklumat perubatan terhad.
Mengambil kira bahawa jenis data yang terlibat biasanya berkaitan dengan maklumat yang syarikat simpan tentang pekerjanya, seperti untuk rekod perniagaan dan faedah tempat kerja, adalah sah bahawa pelanggaran data menjejaskan pekerja CSC semasa dan lepas, kerana pelanggan biasanya tidak diminta untuk maklumat ini.
Untuk bahagian CSC, tidak mahu menjelaskan sama ada begitu.
Juru bicara CSC Stephen Gilbert enggan menjawab soalan khusus TechCrunch tentang insiden itu, termasuk sama ada pelanggaran itu menjejaskan pekerja, pelanggan, atau kedua-duanya. Syarikat itu tidak menerangkan sifat serangan siber itu, atau sama ada syarikat itu telah menerima sebarang komunikasi dari penyerang ancaman, seperti permintaan tebusan.
CSC membuat berita utama awal tahun ini selepas mengabaikan bug mudah yang ditemui oleh dua penyelidik keselamatan pelajar yang membenarkan sesiapa sahaja menjalankan kitaran dobi percuma. Syarikat itu akhirnya membetulkan kebolehlancaran itu dan meminta maaf kepada penyelidik yang menghabiskan minggu mencuba memberitahu syarikat mengenai kelemahan tersebut.
Bulan lalu, butiran tentang kerentanan baru yang ditemui dalam mesin dobi yang dikuasai CSC yang membenarkan sesiapa sahaja juga mendapatkan dobi percuma telah dimaklumkan awam. Michael Orlitzky berkata dalam catatan blog bahawa kerentanan peringkat perkakasan, yang melibatkan melanggar dua dawai di dalam mesin dobi yang dikuasai CSC, mengatasi keperluan untuk memasukkan syiling untuk menggunakan mesin. Orlitzky dijadualkan untuk menyampaikan hasil kajiannya di konferensi keselamatan Def Con di Las Vegas pada Sabtu.
