El gigante de lavandería CSC ServiceWorks dice que decenas de miles de personas perdieron su información personal de sus sistemas después de revelar recientemente un ciberataque de 2023.

El gigante de la lavandería con sede en Nueva York suministra más de un millón de máquinas de lavandería conectadas a Internet a edificios residenciales, hoteles y campus universitarios de Norteamérica y Europa. CSC también emplea a más de 3.200 personas, según su sitio web.

En un Notificación de violación de datos En un informe presentado a última hora del viernes, CSC confirmó que la violación de datos afectó al menos a 35.340 personas, incluidas más de cien personas en Maine.

La noticia de la violación de datos es el último problema de seguridad que ha afectado a CSC durante el año pasado, después de que varios investigadores de seguridad dijeran que encontraron vulnerabilidades simples pero críticas en su plataforma de lavandería capaces de hacer perder los ingresos de la empresa.

En su aviso de violación de datos, CSC dijo que un intruso irrumpió en sus sistemas el 23 de septiembre de 2023 y tuvo acceso a su red durante cinco meses hasta el 4 de febrero de 2024, cuando la empresa descubrió al intruso. No se sabe por qué la empresa tardó varios meses en detectar la violación. CSC dijo que tardó hasta junio en identificar qué datos fueron robados.

Los datos robados incluyen nombres, fechas de nacimiento, información de contacto, documentos de identidad gubernamentales, como números de Seguro Social y de licencia de conducir, información financiera, como números de cuentas bancarias, e información de seguro médico, incluida alguna información médica limitada.

Dado que los tipos de datos involucrados generalmente se relacionan con la información que las empresas tienen sobre sus empleados, como registros comerciales y beneficios laborales, es plausible que la violación de datos afecte a empleados actuales y anteriores de CSC, ya que normalmente no se les solicita esta información a los clientes.

Por su parte, CSC no aclaró ninguno de los dos aspectos.

El portavoz de CSC, Stephen Gilbert, se negó a responder las preguntas específicas de TechCrunch sobre el incidente, incluyendo si la violación afecta a empleados, clientes o ambos. La empresa no describió la naturaleza del ciberataque ni si recibió alguna comunicación del actor de la amenaza, como una exigencia de rescate.

CSC fue noticia a principios de este año después de ignorar un simple error descubierto por dos estudiantes investigadores de seguridad que permitía a cualquiera ejecutar ciclos de lavado gratuitos. La empresa solucionó la vulnerabilidad tardíamente y se disculpó con los investigadores, quienes pasaron semanas tratando de alertar a la empresa sobre la falla.

Los hallazgos impulsaron a la empresa a Establecer un programa de divulgación de vulnerabilidadespermitiendo a los futuros investigadores de seguridad contactar directamente a la empresa para informar de forma privada sobre errores o vulnerabilidades.

El mes pasado, se conocieron detalles de Una nueva vulnerabilidad Se han hecho públicos los anuncios de lavadoras que funcionan con CSC que permiten a cualquier persona obtener también una colada gratuita. Michael Orlitzky dijo en una publicación de blog que la vulnerabilidad a nivel de hardware, que implica un cortocircuito en dos cables dentro de una lavadora alimentada por CSC, evita la necesidad de introducir monedas para operar la máquina. Orlitzky se debe a Presentar sus hallazgos en la conferencia de seguridad Def Con en Las Vegas el sábado.