水務公司遭罰,數十萬名客戶個人資料遭駭取
Water firm fined after customers' details hacked
作者: Oprah Flash | 時間: Tue, 12 May 2026 11:18:10 GMT | 來源: BBC
f t
一家水務公司在數以萬計客戶的個人資料遭到駭客入侵後,遭到處罰。
南斯塔福德郡,由南斯塔福德郡 Plc 與南斯塔福德郡水務 Plc 組成,因發生網路攻擊,且該攻擊可追溯至 2020 年 9 月,被資訊專員辦公室(ICO)命令支付 963,900 鎊罰款。
該公司服務範圍涵蓋南斯塔福德郡、黑郡地區部分區域及周邊。
ICO 調查發現,在該次攻擊中,共有 633,887 名人員的個人資訊被竊取並發布於暗網,而該攻擊主要發生在 2022 年 5 月至 7 月期間。
監督機構與水務公司達成自願和解協議,南斯塔福德郡承認責任,並同意支付罰款且放棄上訴。
駭客利用釣魚郵件發動攻擊,得以安裝惡意軟體,且惡意軟體在該組織系統中未被發現長達 20 個月。
ICO 表示,駭客於 2022 年 5 月滲透進該公司網絡,並獲取管理員權限——這是對 IT 網絡最高層級的系统存取權。
IT 效能問題促使公司在 2022 年 7 月 15 日進行內部調查,進而揭發了該資安事件。
數天後該公司報案個人資料洩漏,而在 2022 年 7 月 26 日,南斯塔福德郡發現駭客曾試圖發送給部分員工的勒索信但發送失敗。
2022 年 8 月至 11 月期間,南斯塔福德郡發現超過 4.1 泰比(TB,每個等於 1,000GB)的數據被發布於暗網。
這些數據包括客戶的銀行帳戶資訊及員工的國民保險編號。
ICO 的調查發現,南斯塔福德郡未能在英國資料保護法規下建立足夠的資安控制措施,這導致駭客能取得管理員存取權。
駭客得以在活動上大部分未被察覺,這歸因於該公司監測不足、使用過時系統,以及利用包括缺乏定期資安掃描在內的各種系統缺陷。
ICO 的伊恩·許爾姆(Ian Hulme)表示:「等待發生效能問題或勒索信才去發現洩漏是不可接受的。主動資安防護是法律規定,而非可選的額外選項。」
請追蹤 BBC Stoke & Staffordshire 於 BBC Sounds、Facebook、X 及 Instagram 的官方頻道。