La gigante de lavandería CSC ServiceWorks dice que decenas de miles de personas tuvieron su información personal robada de sus sistemas después de divulgar recientemente un ciberataque de 2023.
La gigante de lavandería con sede en Nueva York proporciona más de un millón de máquinas de lavandería conectadas a internet a edificios residenciales, hoteles y campus universitarios en América del Norte y Europa. CSC también emplea a más de 3,200 miembros del equipo, según su sitio web.
En un aviso de violación de datos presentado el viernes pasado, CSC confirmó que la violación de datos afectó al menos a 35,340 individuos, incluyendo a más de cien personas en Maine.
La noticia de la violación de datos es el último problema de seguridad que ha afectado a CSC en el último año, después de que varios investigadores de seguridad dicen haber encontrado vulnerabilidades simples pero críticas en su plataforma de lavandería capaces de hacer perder ingresos a la compañía.
En su aviso de violación de datos, CSC dijo que un intruso ingresó a sus sistemas el 23 de septiembre de 2023 y tuvo acceso a su red durante cinco meses hasta el 4 de febrero de 2024, cuando la compañía descubrió al intruso. No se sabe por qué la compañía tardó varios meses en detectar la violación. CSC dijo que tardó hasta junio en identificar qué datos fueron robados.
Los datos robados incluyen nombres; fechas de nacimiento; información de contacto; documentos de identidad gubernamentales, como números de Seguro Social y licencias de conducir; información financiera, como números de cuentas bancarias; e información de seguros de salud, incluyendo algo de información médica limitada.
Dado que los tipos de datos involucrados suelen estar relacionados con la información que las empresas tienen sobre sus empleados, como registros comerciales y beneficios laborales, es plausible que la violación de datos afecte a empleados actuales y antiguos de CSC, ya que generalmente no se pide esta información a los clientes.
Por su parte, CSC no aclaró de ninguna manera. El portavoz de CSC, Stephen Gilbert, se negó a responder preguntas específicas de TechCrunch sobre el incidente, incluido si la violación afecta a empleados, clientes o ambos. La compañía no describió la naturaleza del ciberataque, ni si la compañía ha recibido alguna comunicación del actor de amenazas, como una demanda de rescate.
CSC saltó a los titulares a principios de este año después de ignorar una simple falla descubierta por dos estudiantes investigadores de seguridad que permitía que cualquier persona ejecutara ciclos de lavandería gratuitos. La compañía parchó tardíamente la vulnerabilidad y se disculpó con los investigadores, quienes pasaron semanas tratando de alertar a la compañía sobre la falla.
Los hallazgos llevaron a la compañía a establecer un programa de divulgación de vulnerabilidades, permitiendo que futuros investigadores de seguridad se pongan en contacto directamente con la compañía para informar de forma privada sobre errores o vulnerabilidades.
El mes pasado, se hicieron públicos detalles de una nueva vulnerabilidad encontrada en las máquinas de lavandería impulsadas por CSC que permiten a cualquiera obtener también lavandería gratuita. Michael Orlitzky dijo en una publicación de blog que la vulnerabilidad a nivel de hardware, que implica hacer un cortocircuito en dos cables dentro de una máquina de lavandería alimentada por CSC, evita la necesidad de ingresar monedas para operar la máquina. Orlitzky está programado para presentar sus hallazgos en la conferencia de seguridad Def Con en Las Vegas el sábado.
En resumen, la violación de datos en CSC ServiceWorks ha puesto en peligro la información personal de decenas de miles de personas y ha expuesto fallas críticas en la seguridad de la compañía. Es crucial que CSC tome medidas inmediatas para abordar estas vulnerabilidades y proteger la información sensible de sus empleados y clientes.