.
A Capita está enfrentando críticas sobre sua higiene de segurança em uma nova frente depois que um balde de nuvem da Amazon contendo dados de benefícios sobre residentes em um conselho municipal do sudeste da Inglaterra foi exposto ao público na web.
Câmara Municipal de Colchester disse na segunda-feira, lançou uma investigação após a descoberta do balde de armazenamento aberto e estava trabalhando com a Capita para entender completamente a “extensão do vazamento de dados e tomar todas as medidas necessárias para minimizar qualquer impacto sobre os residentes”.
Na última atualização, o conselho disse hoje que Capita havia sido “incumbida da tarefa crucial” de administrar os serviços de auditoria de final de ano para os impostos e benefícios municipais. Isso, acrescentou, incluía a extração de dados dos próprios sistemas do conselho.
As informações expostas detalhavam os benefícios que o residente local recebeu nos anos fiscais de 2019/20 e 2020/21. O conselho disse em um comunicado:
“Os dados, juntamente com informações semelhantes de outras autoridades locais, foram encontrados em um Amazon Data Bucket não seguro controlado pela Capita. A Capita confirmou que já está segura e podemos confirmar que os dados não incluem dados bancários.”
É inaceitável que a Capita não tenha cumprido esses padrões exigidos
O conselho da cidade de Colchester pediu mais informações à Capita para confirmar a “extensão da violação o mais rápido possível” e diz que foi informado de que ainda não há evidências de qualquer uso malicioso dos dados.
Richard Block, diretor de operações do conselho da cidade de Colchester, disse em um comunicado que estava “extremamente desapontado com a ocorrência de uma violação de dados tão grave por um de nossos contratados”.
“Exigimos que todas as partes envolvidas no tratamento de informações confidenciais cumpram os mais altos padrões de proteção de dados e é inaceitável que a Capita não cumpra esses padrões exigidos. Como resultado, estamos considerando qual ação adicional pode ser apropriada em relação à Capita.
“Ao tomar conhecimento deste incidente, os registros em questão foram imediatamente protegidos e continuamos a investigar o incidente para garantir que todas as medidas necessárias sejam e permaneçam em vigor. Relatamos o incidente às autoridades reguladoras apropriadas e cooperaremos totalmente com qualquer investigação ou qualquer outra ação necessária.”
Ele disse que a Capita forneceu garantias de que nenhum dado bancário pessoal dos cidadãos cujos dados foram expostos foi comprometido. “Esperamos uma explicação completa e solução da empresa e que eles se desculpem diretamente com os afetados.”
A Capita é a maior empresa britânica de terceirização de processos de negócios e serviços profissionais, com cerca de £ 6,5 bilhões (US$ 8,1 bilhões) em contratos, inclusive com muitos dos departamentos do governo central da Grã-Bretanha.
Um porta-voz da Capita disse em um comunicado: “Estamos trabalhando com nossos consultores técnicos terceirizados para investigar esse problema. Os dados estão seguros e não estão mais acessíveis. Nossas investigações sobre o assunto estão em andamento. A privacidade e a segurança das informações de nossos clientes são de extrema importância para nós.”
Este último desenvolvimento ocorre logo após a Capita desligar parte de seus sistemas internos em final de março depois de detectar uma invasão digital de sua infraestrutura, que a gigante da terceirização admitiu em início de abril. Equipe de ransomware russo Black Basta assumiu a responsabilidade.
Capita posteriormente disse 4 por cento de sua propriedade de servidor foi acessada e havia alguma evidência de exfiltração de dados. Mais tarde, atualizou os investidores para dizer sobre 0,1 por cento de seus servidores foi acessado.
Na semana passada, o maior sistema privado de pensões do Reino Unido disse que o Capita lhe tinha escrito para avisar que os detalhes do 470.000 membros ativos, diferidos e aposentados foi mantido nos servidores que foram acessados pelo intruso ou intrusos. Isso inclui nomes, data de nascimento e números de seguro nacional. Os dados, acrescentou o Universities Superannuation Scheme, podem não ter sido roubados, mas estava trabalhando na suposição de que “foi”.
No início deste mês, um pesquisador de segurança disse eles encontraram um balde aberto de documentos AWS S3 pertencentes à Capita em abril, que foi protegido depois que a organização foi alertada. Capita disse que o armazenamento em nuvem não continha nada sensível. ®
.
