文章总结： 英国信息专员办公室对南斯塔福德郡水务公司处以130万美元罚款，因其网络钓鱼攻击导致66.4万客户数据泄露。泄露数据包含姓名、地址、银行信息等，漏洞包括权限控制不足、监控覆盖低、使用过时软件。建议企业加强安全扫描、更新系统和漏洞管理。 综合评分： 78 文章分类： 数据泄露,政策法规,安全建设,漏洞分析,安全意识

供水商泄露 66.4 万客户数据，遭罚款 130 万美元

HackerNews HackerNews

安全威胁纵横

2026年5月13日 15:24 湖北

在小说阅读器读本章

去阅读

高危漏洞

紧急修复指南

RCE Patch

英国信息专员办公室（ICO）对南斯塔福德郡水务公司（South Staffordshire Water Plc）及其母公司南斯塔福德郡公司（South Staffordshire Plc）处以 96.39 万英镑（130 万美元）的罚款，原因是一场网络攻击导致 663,887 名客户和员工的个人数据泄露。

推测e

据悉，该公司每天为 160 万消费者供应 3.3 亿升饮用水。2022 年，该公司披露其成为一起网络攻击的目标，此次攻击扰乱了其信息技术运营。

当时，克洛普（Cl0p）勒索软件团伙宣称对此次攻击负责（最初认错了攻击目标），但该公司对此予以否认，不过泄露的数据样本看起来是真实的。

ICO 的调查现已证实，泄露的数据确实来自南斯塔福德郡水务公司，且此次数据泄露实际上始于 2020 年 9 月。

ICO 发布的公告称：“在一场严重的网络攻击导致 633,887 人的个人信息被窃取并发布到暗网后，我们对南斯塔福德郡公司和南斯塔福德郡水务公司（统称南斯塔福德郡公司）处以 96.39 万英镑的罚款。”

“此次攻击可追溯至 2020 年 9 月，但主要发生在 2022 年 5 月至 7 月之间，暴露出该公司在数据安全方面存在严重漏洞，使得客户和员工在近两年时间内面临风险。”

据 ICO 称，此次数据泄露源于一次网络钓鱼攻击，攻击者借此在该公司系统中安装了恶意软件，且该恶意软件在 20 个月内未被发现。

2022 年 5 月至 7 月期间，攻击者在南斯塔福德郡公司的网络中提升权限，获得了域管理员访问权限。

直到 2022 年 7 月，因信息技术性能问题引发调查，此次数据泄露才被发现。

泄露的数据包括全名、实际地址、电子邮件地址、电话号码、出生日期、客户账户凭证、银行账户信息，以及员工人力资源数据，如国民保险号码。

ICO 发现了导致此次数据泄露事件的多项安全漏洞，包括：

• 缺乏足够的控制措施防止权限提升；
• 监控仅覆盖约 5% 的信息技术环境；
• 使用过时软件，如 Windows Server 2003；
• 漏洞管理不善，缺少安全补丁；
• 缺乏定期的内部和外部安全扫描。

监管机构表示，这些漏洞违反了英国的数据保护要求，因此予以罚款。

最初的罚款金额更高，但由于南斯塔福德郡公司提前承认责任，配合调查并同意不上诉，ICO 将罚款金额降低了 40%。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://www.bleepingcomputer.com/news/security/uk-fines-water-supplier-13m-for-exposing-data-of-664k-customers/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《供水商泄露 66.4 万客户数据，遭罚款 130 万美元》