Le géant de la blanchisserie CSC ServiceWorks affirme que des dizaines de milliers de personnes se sont fait voler leurs informations personnelles dans ses systèmes après avoir récemment révélé une cyberattaque de 2023.
Le géant de la blanchisserie basé à New York fournit plus d’un million de machines à laver connectées à Internet aux bâtiments résidentiels, aux hôtels et aux campus universitaires d’Amérique du Nord et d’Europe. CSC emploie également plus de 3 200 membres d’équipe, selon son site Web.
Dans un Notification des violations de données déposée tard vendredi, le SCC a confirmé que l’atteinte à la protection des données avait touché au moins 35 340 personnes, dont plus d’une centaine de personnes dans le Maine.
La nouvelle de la violation de données est le dernier problème de Sécurité à avoir frappé CSC au cours de l’année écoulée, après que plusieurs chercheurs en sécurité ont déclaré avoir trouvé des vulnérabilités simples mais critiques dans sa plate-forme de blanchisserie capables de faire perdre des revenus à l’entreprise.
Dans son avis de violation de données, le SCC a déclaré qu’un intrus s’était introduit dans ses systèmes le 23 septembre 2023 et avait eu accès à son réseau pendant cinq mois jusqu’au 4 février 2024, date à laquelle l’entreprise a découvert l’intrus. On ne sait pas pourquoi il a fallu plusieurs mois à l’entreprise pour détecter la violation. Le SCC a déclaré qu’il avait fallu jusqu’en juin pour identifier les données volées.
Les données volées comprennent des noms ; dates de naissance ; coordonnées ; les documents d’identité gouvernementaux, tels que les numéros de sécurité sociale et de permis de conduire ; des informations financières, telles que des numéros de compte bancaire ; et des informations sur l’assurance maladie, y compris des informations médicales limitées.
Étant donné que les types de données concernés concernent généralement les informations que les entreprises détiennent sur leurs employés, telles que les dossiers commerciaux et les avantages sociaux, il est plausible que la violation de données affecte les employés actuels et anciens du SCC, car les clients ne sont généralement pas invités à fournir ces informations.
Pour sa part, le SCC n’a pas voulu clarifier l’un ou l’autre des côtés.
Le porte-parole du CSC, Stephen Gilbert, a refusé de répondre aux questions spécifiques de fr.techtribune.netsur l’incident, notamment si la violation affecte les employés, les clients ou les deux. L’entreprise n’a pas voulu décrire la nature de la cyberattaque, ni si elle a reçu une communication de l’auteur de la menace, comme une demande de rançon.
Le CSC a fait les manchettes plus tôt cette année après avoir ignoré un simple bogue découvert par deux chercheurs en sécurité étudiants qui permettait à n’importe qui d’exécuter des cycles de lessive gratuits. La société a tardivement corrigé la vulnérabilité et s’est excusée auprès des chercheurs, qui ont passé des semaines à essayer d’alerter la société de la faille.
Les résultats ont incité l’entreprise à Mettre en place un programme de divulgation des vulnérabilités, ce qui permet aux futurs chercheurs en sécurité de contacter directement l’entreprise pour signaler en privé des bogues ou des vulnérabilités.
Le mois dernier, détails de Une nouvelle vulnérabilité trouvés dans les machines à laver alimentées par CSC permettant à quiconque d’obtenir également une lessive gratuite ont été rendus publics. Michael Orlitzky a déclaré dans un billet de blog que la vulnérabilité au niveau matériel, qui implique un court-circuit de deux fils à l’intérieur d’une machine à laver alimentée par CSC, contourne la nécessité d’entrer des pièces de monnaie pour faire fonctionner la machine. Orlitzky est dû à présenter ses conclusions lors de la conférence sur la sécurité Def Con à Las Vegas samedi.