A Southern Water, uma concessionária de água sediada no Reino Unido, confirmou que hackers conseguiram roubar dados pessoais de até 470.000 clientes em uma recente violação de dados.
A empresa, que fornece serviços de água e esgoto para milhões de pessoas em todo o sudeste da Inglaterra, anunciou na terça-feira que planeja notificar entre “5 a 10 por cento” de sua base de clientes sobre o incidente. Embora não tenha fornecido números exatos, estima-se que entre 235.000 e 470.000 clientes tenham sido afetados.
A Southern Water se recusou a detalhar quais dados foram comprometidos, mas relatos indicam que os hackers tiveram acesso a datas de nascimento, números de seguro nacional, detalhes bancários e números de referência dos clientes.
Além dos clientes, a Southern Water também planeja notificar seus funcionários atuais e alguns ex-funcionários sobre a violação de suas informações pessoais. A empresa conta com cerca de 6.000 funcionários.
O ataque cibernético, que ocorreu em janeiro, foi reivindicado pelo grupo de ransomware Black Basta, associado à Rússia, que no passado assumiu a responsabilidade por hacks em grandes organizações, incluindo a gigante de terceirização britânica Capita.
Após o ataque, a Southern Water foi listada no site de vazamento da Black Basta na dark web, onde o grupo afirmou ter roubado 750 gigabytes de dados confidenciais, incluindo documentos corporativos e informações pessoais de clientes.
Embora a Southern Water tenha afirmado estar trabalhando com especialistas em segurança cibernética para monitorar a dark web, até o momento não foram encontradas evidências de que os dados roubados tenham sido publicados online.
A empresa notificou o regulador de proteção de dados do Reino Unido, o Information Commissioner’s Office, sobre o incidente. No entanto, a Southern Water se recusou a comentar se pagou ou não o pedido de resgate feito pelos hackers.
A violação de dados da Southern Water destaca a crescente ameaça cibernética enfrentada por empresas e organizações em todo o mundo, reforçando a necessidade de medidas robustas de segurança e proteção de dados.