Der Wäscherei-Riese CSC ServiceWorks gab an, dass die persönlichen Daten von Zehntausenden von Menschen aus seinen Systemen gestohlen wurden, nachdem er kürzlich einen Cyberangriff aus dem Jahr 2023 bekannt gegeben hatte.
Der in New York ansässige Wäschereiriese stellt über eine Million internetfähige Waschmaschinen für Wohngebäude, Hotels und Universitätsgelände in Nordamerika und Europa bereit. Laut seiner Website beschäftigt CSC außerdem mehr als 3.200 Mitarbeiter.
In einem Benachrichtigung über Datenschutzverletzungen In einer am späten Freitag eingereichten Klage bestätigte CSC, dass von der Datenpanne mindestens 35.340 Personen betroffen waren, darunter über hundert Menschen in Maine.
Die Nachricht über den Datendiebstahl ist das jüngste Sicherheitsproblem bei CSC im vergangenen Jahr, nachdem mehrere Sicherheitsforscher nach eigener Aussage einfache, aber kritische Schwachstellen in der Wäscherei-Plattform des Unternehmens entdeckt hatten, die zu Umsatzeinbußen für das Unternehmen führen könnten.
In seiner Meldung zum Datendiebstahl erklärte CSC, dass ein Eindringling am 23. September 2023 in die Systeme des Unternehmens eingedrungen sei und fünf Monate lang Zugriff auf das Netzwerk gehabt habe, bis das Unternehmen den Eindringling am 4. Februar 2024 entdeckte. Es ist nicht bekannt, warum das Unternehmen mehrere Monate brauchte, um den Datendiebstahl zu bemerken. CSC sagte, es habe bis Juni gedauert, um festzustellen, welche Daten gestohlen worden waren.
Zu den gestohlenen Daten zählen Namen, Geburtsdaten, Kontaktdaten, staatliche Ausweisdokumente wie Sozialversicherungs- und Führerscheinnummern, finanzielle Informationen wie Bankkontonummern und Krankenversicherungsdaten, darunter auch einige begrenzte medizinische Informationen.
Da es sich bei den betroffenen Daten typischerweise um Informationen handelt, die Unternehmen über ihre Mitarbeiter speichern, z. B. Geschäftsunterlagen und betriebliche Sozialleistungen, ist es plausibel, dass der Datenschutzverstoß aktuelle und ehemalige CSC-Mitarbeiter betrifft, da Kunden normalerweise nicht nach diesen Informationen gefragt werden.
CSC wollte seinerseits keine Klarstellung in die eine oder andere Richtung geben.
CSC-Sprecher Stephen Gilbert wollte TechCrunchs spezifische Fragen zu dem Vorfall nicht beantworten, darunter auch nicht, ob der Verstoß Mitarbeiter, Kunden oder beide betrifft. Das Unternehmen wollte weder die Art des Cyberangriffs beschreiben, noch ob es eine Mitteilung des Bedrohungsakteurs erhalten hat, etwa eine Lösegeldforderung.
CSC machte Anfang des Jahres Schlagzeilen, weil es einen einfachen Fehler ignorierte, der von zwei studentischen Sicherheitsforschern entdeckt wurde und der es jedermann ermöglichte, kostenlose Waschgänge durchzuführen. Das Unternehmen flickte die Schwachstelle nachträglich und entschuldigte sich bei den Forschern, die wochenlang versucht hatten, das Unternehmen auf den Fehler aufmerksam zu machen.
Die Ergebnisse veranlassten das Unternehmen dazu, Richten Sie ein Programm zur Offenlegung von Schwachstellen einsodass zukünftige Sicherheitsforscher direkt mit dem Unternehmen Kontakt aufnehmen können, um Fehler oder Schwachstellen vertraulich zu melden.
Letzten Monat wurden Einzelheiten über eine neue Schwachstelle in CSC-betriebenen Waschmaschinen gefunden, die es jedem ermöglichen, kostenlos Wäsche zu waschen, wurden öffentlich gemacht. Michael Orlitzky sagte in einem Blog-Beitrag dass die Schwachstelle auf Hardware-Ebene, bei der zwei Drähte in einer CSC-betriebenen Waschmaschine kurzgeschlossen werden, die Notwendigkeit umgeht, Münzen einzugeben, um die Maschine zu betreiben. Orlitzky ist aufgrund seine Ergebnisse präsentieren auf der Def Con-Sicherheitskonferenz am Samstag in Las Vegas.