泄露众多客户敏感数据，外包巨头被重罚1.34亿元

主要观点总结

英国信息专员办公室（ICO）对包巨头Capita开出了高达1400万英镑的罚款，因其2023年遭遇严重网络攻击导致660万人个人数据泄露。此次事件影响了依赖Capita服务的325个组织，敏感数据包括银行和信用卡信息等。Capita未能及时响应攻击，导致数据泄露规模扩大。虽然Capita已展示安全改进并积极配合监管机构，但罚款仍占其全年利润的12%。事件暴露出Capita在网络安全方面的重大漏洞和关键失误。

关键观点总结

关键观点1: 巨额罚款

英国信息专员办公室对Capita开出了高达1400万英镑的罚款，占其全年利润的12%，因其在网络安全方面的严重失误。

关键观点2: 数据泄露规模与影响

Capita的数据泄露影响了660万人，涉及的敏感数据包括银行和信用卡信息等。此次事件影响了依赖Capita服务的325个组织。

关键观点3: Capita的网络安全失误

Capita在网络安全方面存在重大漏洞和关键失误，包括对初次入侵响应迟缓、缺乏安全监控和防范措施、缺乏特权访问管理等。

关键观点4: 攻击者的渗透过程

攻击者通过恶意JavaScript下载等手段渗透至Capita系统，安装Qakbot恶意软件和Cobalt Strike渗透工具，并利用备份管理员账号进行网络内部横向移动，最终提取数据并部署勒索软件。

关键观点5: ICO的立场

ICO强调，任何组织都不能因规模大而忽视自身在保护数据安全方面的责任。面对网络攻击，企业必须主动采取措施保护数据安全。