泄露众多客户敏感数据，外包巨头被重罚1.34亿元

前情回顾·网络安全合规执法

• 泄露22万余人个人信息，知名医学检测机构被罚2700万元

• 韩国政企泄露近亿条个人数据仅被罚4.6亿元，国会议员指责监管不力

• 低级错误引发严重数据泄露事故，知名运营商被罚近7亿元

• 故意向政府销售有漏洞的数字产品，行业巨头被罚7000万元

安全内参10月17日消息，英国信息专员办公室（ICO）日前对外包巨头Capita开出了总额达1400万英镑（约合人民币1.34亿元）的罚款，此前该公司在2023年遭遇严重网络攻击，导致660万人个人数据泄露。

罚款具体分配为：Capita plc 800万英镑，Capita Pension Solutions 600万英镑。此次数据泄露影响了依赖Capita服务的600多个组织中的325个，涉及敏感的员工及养老金记录。

罚金占年利润超一成

ICO发布的Capita失职完整报告显示，攻击者获取了高度敏感的信息，包括完整的银行和信用卡信息、生物识别数据、护照信息、登录凭证、儿童数据等。每位受影响的人的暴露信息各有不同。

英国信息专员John Edwards表示：“Capita未能履行保护数百万公众信任数据的职责。如果采取了充分的安全措施，本次泄露的规模和影响本可以避免。”

他补充道：“当像Capita这样的大公司失职时，后果可能非常严重。不仅影响数据被泄露的人，许多人表示因此经历了焦虑和压力。这也损害了公众信任，并影响未来发展。正如我们的罚款所示，没有任何组织可以因为规模大而忽视自身责任。”

ICO最初计划对Capita处以4500万英镑（约合人民币4.3亿元）罚款，但在Capita展示安全改进、提供受害者支持，并积极配合英国国家网络安全中心等监管机构后，罚款有所减轻。

Capita在2024全年实现税后利润1.166亿英镑，因此此次罚款约占其全年利润的12%。

根据英国市场情报公司Tussell的数据显示，自此次大规模泄露事件后，英国政府向Capita授予了241份合同，总价值达60亿英镑，但几乎没有合同涉及网络安全责任。

攻击回溯分析

此次事件的核心问题在于Capita对2023年3月的初次入侵响应迟缓，其系统在检测到潜在入侵后，关键遏制措施延迟了58小时才得以执行。

事件始于一次恶意JavaScript下载。触发方式尚不明确，但可能为驱动式下载，因为微软的攻击报告未发现钓鱼迹象。

攻击者随后安装了Qakbot恶意软件及广泛滥用的Cobalt Strike渗透工具。

Capita安全运营中心（SOC）未能多个重要告警作出响应，包括对JavaScript下载引发的高级告警（P2级）及错过的服务等级协议（SLA）告警。

2023年3月22日07:52，攻击者使用备份管理员账号登录员工设备，此时距离初始入侵已过去4小时21分钟。

ICO分析显示，存在Kerberos凭证收集痕迹，并且Capita的Active Directory可能遭到攻破。攻击者可能通过破解哈希密码获取备份管理员账号的访问权限。

在一系列关键失误中，CAPITA\\\\\\\\backupadmin服务账号违反了微软安全最佳实践：该账号拥有域管理员权限而非最小权限访问；缺乏设备访问限制；未监控是否被攻破；没有分层访问模型；缺乏特权访问管理（PAM）控制。

攻击者利用该账号渗透至Capita的其他八个域。值得注意的是，此前在2022年8月的三次渗透测试中就发现了该漏洞，但Capita未采取纠正措施。

初次入侵24小时后，Capita的Trellix EDR系统检测到Qakbot正在恢复并解密员工设备上的用户名和密码。SOC直到3月24日才隔离受感染设备，距JavaScript下载事件已58小时。

尽管Capita声称，P2告警响应时间为45分钟（SLA为1小时），公司实际耗时57小时。ICO指出，Qakbot和Cobalt Strike事件应触发需要立即修复的P1告警，而非P2告警。

当Capita做出响应时，攻击者已在网络中建立了持久立足点，并获得域管理员账号权限，从而能够在网络内部横向移动。

3月24日至28日四天内，攻击者使用Cobalt Strike和Bloodhound进行网络侦察，Capita仅检测到三台受感染的员工设备并加以遏制。

ICO指出，事件发生时，Capita全公司仅有一名SOC分析员值班。尽管公司自2022年11月以来，大部分时间未达到P2告警SLA目标（目标为95%，实际低于30%），入侵前六个月P2告警数量增长了100%。

攻击者利用SystemBC和Rclone开始提取数据，在24小时内盗取约1 TB信息。

ICO分析表示：“Capita仍未能证明被泄露个人数据的系统曾接受过渗透测试，也没有证据显示Capita对这些业务单元进行过内部安全审计。”

3月31日凌晨，攻击者在至少1057台主机上部署勒索软件，并触发59359个账号的全球密码重置，随后Capita向ICO报告事件。

Capita在4月6日基本恢复，但系统全面恢复分阶段进行，直至5月17日实现99%可用，并于“2023年6月中旬”达到100%正常运行。

Capita的回应

ICO的完整事件报告显示，Capita多次试图争辩称ICO官员无权对其安全态势进行评论，但ICO在大多数情况下不同意。

当日，Capita就罚款发表声明，对事件表示遗憾，并承诺改进其系统。

Capita首席执行官Adolfo Hernandez表示：“作为为公共关键服务及私营部门客户提供重要服务的组织，Capita在近期针对英国大型企业的重大网络攻击中，是首批受影响公司之一。”

他补充道：“在我担任CEO的一年内，我加速了网络安全转型，引入新的数字与技术领导，并进行了重大投资。因此，我们显著提升了网络安全态势，建立了先进防护体系，并培养了持续警惕的企业文化。”

“经过与ICO两年的长期对话，我们很高兴解决此事并达成今日的和解。Capita团队将继续专注于集团转型，为客户、员工及社会创造价值。”

ICO的Edwards表示：“面对频繁登上头条的网络攻击，我们传达的信息非常清楚：每个组织，无论规模大小，都必须主动采取措施保护数据安全。网络犯罪分子不会等待，企业也不能等待。今天采取行动，能避免明天发生最糟情况。”

参考资料：https://www.theregister.com/2025/10/15/ico_fines_capita_14m/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。