Nach Darstellung des ICO begann der Angriff mit einer Phishing-Attacke, über die die Angreifer Malware auf den Systemen des Unternehmens installieren konnten. Diese Schadsoftware blieb 20 Monate lang unentdeckt. Zwischen Mai und Juli 2022 weiteten die Täter ihre Rechte im Netzwerk von South Staffordshire Plc aus und erlangten schließlich Domänenadministrator-Zugriff.
Aufgedeckt wurde der Vorfall erst im Juli 2022, als Leistungsprobleme in der IT eine Untersuchung auslösten. In der offiziellen Mitteilung datiert das ICO den Angriff auf September 2020 zurück, verortet den Hauptteil der Aktivitäten aber zwischen Mai und Juli 2022.
Der Umfang der abgeflossenen Daten ist beträchtlich: Betroffen sind vollständige Namen, Wohnadressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Zugangsdaten zu Kundenkonten sowie Bankverbindungen. Hinzu kommen Personaldaten von Mitarbeitern, darunter die britischen Sozialversicherungsnummern (National Insurance numbers).
Das ICO stellte mehrere Sicherheitsversäumnisse fest, die zu dem Datenabfluss führten. Diese Mängel werten die Aufseher als Verstoß gegen die britischen Datenschutzvorgaben – daraus leitet sich das verhängte Bußgeld ab.
Ursprünglich fiel die Strafe höher aus. Weil South Staffordshire jedoch frühzeitig die Verantwortung anerkannte, mit der Untersuchung kooperierte und einer Beilegung ohne Einspruch zustimmte, reduzierte das ICO die Sanktion um 40 Prozent.