罚款1.3亿：员工误点文件致660万人数据泄露

Capita公司实拍图

事件回顾：58小时的延误与1TB的数据失窃

根据ICO的调查报告，这起事件的发生过程清晰地揭示了多个关键性的安全失误：

初始入侵：2023年3月，Capita的一名员工在工作设备上下载并打开了一个恶意文件，这使得攻击者获得了进入公司内部网络的初始立足点。
警报与响应迟滞：虽然系统在恶意文件被打开后的十分钟内就触发了自动安全警报，但受感染的设备直到58小时后才被完全隔离。这长达近两天半的“空窗期”为攻击者提供了充足的时间。
攻击升级与数据窃取：在未被隔离的58小时内，攻击者成功提升了权限，在多个网络域之间横向移动，并于3月29日至30日期间窃取了接近1TB的数据。
勒索软件部署：到3月31日，攻击者部署了勒索软件，并重置了用户密码，导致Capita员工无法访问自己的系统。
泄露范围：被盗数据涉及约660万人的养老金记录、员工档案以及Capita服务的其他组织客户信息。受影响的机构多达325家（Capita Pension Solutions Limited (CPSL) 负责处理超过600家客户的数据。泄露信息中甚至包含了个人的犯罪记录、财务数据和“特殊类别数据”（如种族、宗教信仰、健康状况）等高度敏感内容。

ICO的调查确认Capita未能履行英国通用数据保护条例（UK GDPR）规定的多项安全义务，最终导致了此次重罚。

罚款细节：总罚款额为1400万英镑，其中母公司Capita plc承担800万英镑（作为数据控制者），子公司CPSL承担600万英镑（作为数据处理者）。Capita已接受处罚结果，放弃上诉。
核心违规事实：
a.缺乏分层管理账户模型：Capita未实施有效的管理员账户分层管理，使得攻击者在获得初始权限后能够轻易提升权限并在网络中横向移动。这一安全隐患曾至少三次被内部或外部评估指出，但均未得到修复。
b.安全警报响应严重滞后：关键安全警报在触发后被忽略长达58小时，远超其内部设定的一小时响应目标。调查指出，安全运营中心（SOC）长期人手不足是导致响应缓慢的部分原因。
c.渗透测试与风险评估不足：处理数百万记录的关键系统仅在上线时进行过一次渗透测试，之后再无定期复测。更严重的是，测试发现的安全问题没有在整个组织内共享，导致已知的漏洞未能在其他业务单元得到同步修复。
罚款减免：ICO最初计划的罚款金额高达4500万英镑，但考虑到Capita在事件发生后采取的补救措施（包括加强网络安全、为受害者提供支持如12个月免费信用监控服务、与监管机构合作等），最终将罚款降至1400万英镑。

信息来源：英国信息专员办公室

虽然Capita和ICO的公开报告未直接点名攻击者，但根据第三方安全机构的分析和Black Basta勒索软件团伙自身在其泄密网站上的活动记录，普遍认为Black Basta是此次攻击的幕后黑手。

组织背景：Black Basta是一个源自俄罗斯的勒索软件即服务（RaaS）组织，自2022年4月开始活跃，被认为是Conti勒索软件集团解散后的一个分支或重组。
攻击模式：该组织采用“双重勒索”策略，即在加密受害者数据的同时，窃取敏感数据，并威胁在暗网泄密网站（如“Basta News”）上公布，以迫使受害者支付赎金。
技术特点（TTPs）：

初始访问：主要通过鱼叉式钓鱼邮件（常与Qakbot结合）、利用公开漏洞（如ConnectWise CVE-2024-1709）以及复杂的社会工程学（如邮件轰炸后冒充技术支持诱骗安装远程控制软件）获取入口。
常用工具：广泛使用Cobalt Strike进行命令与控制，使用Mimikatz窃取凭证，利用PsExec、BITSAdmin进行横向移动和文件传输，使用RClone、WinSCP进行数据外泄。
加密方式：使用ChaCha20算法加密文件，并用RSA-4096公钥保护加密密钥。加密后文件通常附加.basta扩展名。
防御规避：会尝试禁用安全软件（如使用Backstab工具），有时会修改启动配置使系统在安全模式下重启以绕过防护。