O Escritório do Comissário de Informação (ICO) do Reino Unido impôs uma multa de £14 milhões à Capita plc e sua subsidiária, Capita Pension Solutions Limited (CPSL), após um grave vazamento de dados ocorrido em março de 2023. O incidente comprometeu informações pessoais de aproximadamente 6,6 milhões de indivíduos. A violação foi facilitada por um arquivo malicioso que infectou o dispositivo de um funcionário, permitindo que cibercriminosos acessassem a rede da Capita. Apesar de um alerta automático ser acionado em dez minutos, o dispositivo infectado não foi isolado por 58 horas, durante as quais os atacantes conseguiram exfiltrar quase um terabyte de dados, incluindo registros de pensões e informações de funcionários. O ICO identificou várias falhas nos controles de segurança da Capita, como a falta de um modelo de contas administrativas em camadas e tempos de resposta inadequados a alertas de segurança. A Capita, que já processa dados pessoais para mais de 600 clientes, ofereceu 12 meses de monitoramento de crédito gratuito para os afetados e estabeleceu um centro de atendimento dedicado. O caso destaca a importância de medidas de segurança robustas e a necessidade de conformidade com regulamentações como o GDPR e a LGPD.
Fonte: https://cyberpress.org/capita-fined-14m-for-breach/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
16/10/2025 • Risco: ALTO
VAZAMENTO
Capita multada em £14 milhões por vazamento de dados de 6,6 milhões de usuários
RESUMO EXECUTIVO
O vazamento de dados da Capita, que expôs informações sensíveis de milhões de usuários, ressalta a necessidade de controles de segurança robustos e a importância da conformidade com regulamentações de proteção de dados. O incidente serve como um alerta para organizações que lidam com grandes volumes de dados pessoais.
💼 IMPACTO DE NEGÓCIO
Financeiro
Multa de £14 milhões e custos associados à mitigação e suporte aos afetados.
Operacional
Exposição de dados pessoais de 6,6 milhões de indivíduos, incluindo informações sensíveis.
Setores vulneráveis
['Setor financeiro', 'Setor de saúde', 'Setor de tecnologia']
📊 INDICADORES CHAVE
6,6 milhões de registros pessoais expostos.
Indicador
Quase 1 TB de dados exfiltrados.
Contexto BR
58 horas de atraso na contenção do dispositivo infectado.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar e atualizar políticas de segurança e resposta a incidentes.
2
Implementar um modelo de contas administrativas em camadas e melhorar a equipe do Centro de Operações de Segurança.
3
Monitorar continuamente alertas de segurança e realizar testes de penetração regulares.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados e a conformidade regulatória, especialmente em um cenário onde vazamentos podem resultar em multas significativas e perda de confiança do cliente.
⚖️ COMPLIANCE
Implicações diretas para a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
