前情回顾·网络安全合规执法

安全内参10月17日消息,英国信息专员办公室(ICO)日前对外包巨头Capita开出了总额达1400万英镑(约合人民币1.34亿元)的罚款,此前该公司在2023年遭遇严重网络攻击,导致660万人个人数据泄露。

罚款具体分配为:Capita plc 800万英镑,Capita Pension Solutions 600万英镑。此次数据泄露影响了依赖Capita服务的600多个组织中的325个,涉及敏感的员工及养老金记录。

罚金占年利润超一成

ICO发布的Capita失职完整报告显示,攻击者获取了高度敏感的信息,包括完整的银行和信用卡信息、生物识别数据、护照信息、登录凭证、儿童数据等。每位受影响的人的暴露信息各有不同。

英国信息专员John Edwards表示:“Capita未能履行保护数百万公众信任数据的职责。如果采取了充分的安全措施,本次泄露的规模和影响本可以避免。”

他补充道:“当像Capita这样的大公司失职时,后果可能非常严重。不仅影响数据被泄露的人,许多人表示因此经历了焦虑和压力。这也损害了公众信任,并影响未来发展。正如我们的罚款所示,没有任何组织可以因为规模大而忽视自身责任。”

ICO最初计划对Capita处以4500万英镑(约合人民币4.3亿元)罚款,但在Capita展示安全改进、提供受害者支持,并积极配合英国国家网络安全中心等监管机构后,罚款有所减轻。

Capita在2024全年实现税后利润1.166亿英镑,因此此次罚款约占其全年利润的12%。

根据英国市场情报公司Tussell的数据显示,自此次大规模泄露事件后,英国政府向Capita授予了241份合同,总价值达60亿英镑,但几乎没有合同涉及网络安全责任。

攻击回溯分析

此次事件的核心问题在于Capita对2023年3月的初次入侵响应迟缓,其系统在检测到潜在入侵后,关键遏制措施延迟了58小时才得以执行。

事件始于一次恶意JavaScript下载。触发方式尚不明确,但可能为驱动式下载,因为微软的攻击报告未发现钓鱼迹象。

攻击者随后安装了Qakbot恶意软件及广泛滥用的Cobalt Strike渗透工具。

Capita安全运营中心(SOC)未能多个重要告警作出响应,包括对JavaScript下载引发的高级告警(P2级)及错过的服务等级协议(SLA)告警。

2023年3月22日07:52,攻击者使用备份管理员账号登录员工设备,此时距离初始入侵已过去4小时21分钟。

ICO分析显示,存在Kerberos凭证收集痕迹,并且Capita的Active Directory可能遭到攻破。攻击者可能通过破解哈希密码获取备份管理员账号的访问权限。

在一系列关键失误中,CAPITA\\\\\\\\backupadmin服务账号违反了微软安全最佳实践:该账号拥有域管理员权限而非最小权限访问;缺乏设备访问限制;未监控是否被攻破;没有分层访问模型;缺乏特权访问管理(PAM)控制。

攻击者利用该账号渗透至Capita的其他八个域。值得注意的是,此前在2022年8月的三次渗透测试中就发现了该漏洞,但Capita未采取纠正措施。

初次入侵24小时后,Capita的Trellix EDR系统检测到Qakbot正在恢复并解密员工设备上的用户名和密码。SOC直到3月24日才隔离受感染设备,距JavaScript下载事件已58小时。

尽管Capita声称,P2告警响应时间为45分钟(SLA为1小时),公司实际耗时57小时。ICO指出,Qakbot和Cobalt Strike事件应触发需要立即修复的P1告警,而非P2告警。

当Capita做出响应时,攻击者已在网络中建立了持久立足点,并获得域管理员账号权限,从而能够在网络内部横向移动。

3月24日至28日四天内,攻击者使用Cobalt Strike和Bloodhound进行网络侦察,Capita仅检测到三台受感染的员工设备并加以遏制。

ICO指出,事件发生时,Capita全公司仅有一名SOC分析员值班。尽管公司自2022年11月以来,大部分时间未达到P2告警SLA目标(目标为95%,实际低于30%),入侵前六个月P2告警数量增长了100%。

攻击者利用SystemBC和Rclone开始提取数据,在24小时内盗取约1 TB信息。

ICO分析表示:“Capita仍未能证明被泄露个人数据的系统曾接受过渗透测试,也没有证据显示Capita对这些业务单元进行过内部安全审计。”

3月31日凌晨,攻击者在至少1057台主机上部署勒索软件,并触发59359个账号的全球密码重置,随后Capita向ICO报告事件。

Capita在4月6日基本恢复,但系统全面恢复分阶段进行,直至5月17日实现99%可用,并于“2023年6月中旬”达到100%正常运行。

Capita的回应

ICO的完整事件报告显示,Capita多次试图争辩称ICO官员无权对其安全态势进行评论,但ICO在大多数情况下不同意。

当日,Capita就罚款发表声明,对事件表示遗憾,并承诺改进其系统。

Capita首席执行官Adolfo Hernandez表示:“作为为公共关键服务及私营部门客户提供重要服务的组织,Capita在近期针对英国大型企业的重大网络攻击中,是首批受影响公司之一。”

他补充道:“在我担任CEO的一年内,我加速了网络安全转型,引入新的数字与技术领导,并进行了重大投资。因此,我们显著提升了网络安全态势,建立了先进防护体系,并培养了持续警惕的企业文化。”

“经过与ICO两年的长期对话,我们很高兴解决此事并达成今日的和解。Capita团队将继续专注于集团转型,为客户、员工及社会创造价值。”

ICO的Edwards表示:“面对频繁登上头条的网络攻击,我们传达的信息非常清楚:每个组织,无论规模大小,都必须主动采取措施保护数据安全。网络犯罪分子不会等待,企业也不能等待。今天采取行动,能避免明天发生最糟情况。”

参考资料:https://www.theregister.com/2025/10/15/ico_fines_capita_14m/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。