洗衣巨头CSC ServiceWorks披露2023年数据泄露事件 数万人受到影响

在周五晚些时候提交的一份数据泄露通知中，CSC 证实至少有 35340 人受到了数据泄露的影响。

数据泄露的消息是去年困扰 CSC 的最新安全问题，此前多名安全研究人员称，他们在 CSC 的洗衣平台上发现了一些简单但关键的漏洞，这些漏洞可能导致公司收入损失。

CSC 在其数据泄露通知中称，一名入侵者于 2023 年 9 月 23 日侵入其系统，并在 5 个月的时间内一直可以访问其网络，直到 2024 年 2 月 4 日公司发现该入侵者。CSC 称，直到 6 月份才确定哪些数据被盗。

被盗数据包括姓名、出生日期、联系信息、政府身份证件（如社会保险号和驾照号）、财务信息（如银行账号）和医疗保险信息（包括一些有限的医疗信息）。

鉴于所涉及的数据类型通常与公司所掌握的员工信息有关，如用于业务记录和工作场所福利的信息，因此此次数据泄露事件可能会影响到 CSC 的现任和前任员工，因为客户通常不会被要求提供这些信息。

CSC 发言人斯蒂芬-吉尔伯特（Stephen Gilbert）拒绝回答有关此次事件的具体问题，包括漏洞是否影响员工、客户或两者。该公司没有描述网络攻击的性质，也没有说明公司是否收到威胁方的任何信息，例如赎金要求。

今年早些时候，CSC 因忽视两名学生安全研究人员发现的一个简单漏洞而成为头条新闻，该漏洞允许任何人免费循环运行洗衣过程。该公司姗姗来迟地修补了漏洞，并向研究人员道歉。

这些发现促使该公司设立了漏洞披露计划，允许未来的安全研究人员直接联系该公司，私下报告错误或漏洞。

上个月，在 CSC 供电的洗衣机中发现的一个新漏洞的细节被公开，该漏洞允许任何人也获得免费洗衣服务。迈克尔-奥利茨基在一篇博客文章中说，这个硬件级漏洞涉及将 CSC 电源洗衣机内的两根电线短路，从而绕过了输入硬币操作洗衣机的需要。奥利茨基将于本周六在拉斯维加斯举行的 Def Con 安全大会上公布他的发现。