Le géant de la blanchisserie CSC ServiceWorks affirme que des dizaines de milliers de personnes ont eu leurs informations personnelles volées dans ses systèmes après avoir récemment divulgué une cyberattaque de 2023.
Le géant de la blanchisserie basé à New York fournit plus d'un million de machines à laver connectées à Internet à des immeubles résidentiels, des hôtels et des campus universitaires en Amérique du Nord et en Europe. CSC emploie également plus de 3 200 membres d'équipe, selon son site Web.
Dans une notification de violation de données déposée tard vendredi, CSC a confirmé que la violation de données a affecté au moins 35 340 individus, dont plus d'une centaine de personnes dans le Maine.
Les nouvelles de la violation de données sont le dernier problème de sécurité à affecter CSC au cours de l'année écoulée, après que plusieurs chercheurs en sécurité ont déclaré avoir trouvé des vulnérabilités simples mais critiques dans sa plateforme de blanchisserie capables de faire perdre à l'entreprise des revenus.
Dans son avis de violation de données, CSC a déclaré qu'un intrus avait pénétré dans ses systèmes le 23 septembre 2023 et avait eu accès à son réseau pendant cinq mois jusqu'au 4 février 2024, date à laquelle l'entreprise a découvert l'intrus. On ne sait pas pourquoi cela a pris plusieurs mois à l'entreprise pour détecter la violation. CSC a déclaré qu'il avait fallu jusqu'en juin pour identifier les données volées.
Les données volées comprennent des noms; dates de naissance; informations de contact; documents d'identité gouvernementaux, tels que les numéros de sécurité sociale et de permis de conduire; informations financières, telles que les numéros de compte bancaire; et des informations sur l'assurance maladie, y compris certaines informations médicales limitées.
Étant donné que les types de données impliquées correspondent généralement aux informations que les entreprises détiennent sur leurs employés, telles que les fichiers commerciaux et les avantages en milieu de travail, on peut supposer que la violation de données touche les employés actuels et anciens de CSC, car les clients ne sont généralement pas invités à fournir ces informations.
Quant à CSC, il n'a pas clarifié de cette manière.
Le porte-parole de CSC, Stephen Gilbert, a refusé de répondre aux questions spécifiques de TechCrunch sur l'incident, notamment si la violation affecte les employés, les clients ou les deux. La société n'a pas décrit la nature de la cyberattaque, ni si la société a reçu une quelconque communication de l'acteur de menace, telle qu'une demande de rançon.
CSC avait fait la une des journaux plus tôt cette année après avoir ignoré un bogue simple découvert par deux chercheurs en sécurité étudiants qui permettait à quiconque de lancer des cycles de blanchisserie gratuits. La société a finalement corrigé la vulnérabilité et présenté des excuses aux chercheurs, qui ont passé des semaines à essayer d'alerter la société sur le défaut.
Les résultats ont incité la société à mettre en place un programme de divulgation de vulnérabilités, permettant aux futurs chercheurs en sécurité de contacter directement la société pour signaler de manière privée des bugs ou des vulnérabilités.
Le mois dernier, des détails sur une nouvelle vulnérabilité trouvée dans les machines à laver alimentées par CSC permettant à quiconque d'obtenir également une lessive gratuite ont été rendus publics. Michael Orlitzky a déclaré dans un article de blog que la vulnérabilité au niveau matériel, qui implique un court-circuit de deux fils à l'intérieur d'une machine à laver alimentée par CSC, contourne le besoin d'insérer des pièces pour faire fonctionner la machine. Orlitzky doit présenter ses conclusions lors de la conférence de sécurité Def Con à Las Vegas samedi.
