L’SEC enquête sur la violation de MOVEit qui a exposé les données de 64 millions de personnes au moins.

Progress Software a révélé qu’elle avait reçu une citation du SEC pour partager des informations concernant la vulnérabilité de son logiciel de transfert de fichiers, MOVEit, qui a fait l’objet d’une exploitation massive à partir de mai dernier. Selon le dossier, l’enquête est présentement une « enquête de collecte de faits », et il n’y a aucune indication à ce stade que Progress ait « violé les lois fédérales sur les valeurs mobilières ». La société a l’intention de collaborer avec le SEC. Un rapport de la société de logiciels de cybersécurité Emsisoft estime que la violation de MOVEit a exposé les informations d’au moins 64 millions de personnes par le biais de 2 547 organisations affiliées. Parmi les organisations touchées par la vulnérabilité zéro-jour figurent le Louisiana Office of Motor Vehicles et le Colorado Department of Health Care Policy and Financing. Sony a confirmé que les données de ses employés avaient été compromises dans l’exploit plus tôt ce mois-ci. Et la société de services financiers basée dans le Michigan, Flagstar Bank, a envoyé à ses clients une notification indiquant que des enregistrements avaient été volés (ils recevront désormais des services gratuits de surveillance de l’identité pendant deux ans). Les auteurs de l’attaque – le gang de rançongiciels CL0P – « ont aidé à faire évoluer la pratique du double chantage », selon Reuters. Dans ce type de schéma, les rançonneurs chiffrent les données du destinataire et menacent de divulguer ces données (à moins qu’ils ne soient payés). Le groupe a depuis créé des sites web pour divulguer une partie des données qu’ils ont exfiltrées dans la violation de MOVEit, de Kirkland et TD Ameritrade. Le FBI a depuis offert jusqu’à 10 millions de dollars à quiconque fournira des informations permettant de relier CL0P à un quelconque gouvernement étranger. Le véritable coût (pour les victimes et Progress Software) reste inconnu à ce stade. Mais certains des clients touchés ont commencé à demander des dédommagements pour la violation. Progress a révélé dans le même dossier réglementaire qu’elle est partie prenante de 58 poursuites collectives à ce stade. Beaucoup d’entre elles pourront être consolidées au fur et à mesure de leur avancement, mais elles présentent toujours la possibilité d’énormes pénalités civiles.

Share the Post: