Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
La faille de MoveIt Transfer entraîne une vague de divulgations de violations de données
Une faille critique du jour zéro dans le produit MoveIt Transfer de Progress Software a conduit à une vague d'attaques contre des organisations telles que le fournisseur de logiciels RH Zellis ainsi que le gouvernement de la Nouvelle-Écosse, au Canada.
La faille est devenue publique le 31 mai lorsque Progress a détaillé un bogue d'injection SQL, désormais identifié comme CVE-2023-34362, dans son logiciel de transfert de fichiers géré (MFT) MoveIt Transfer. Progress a exhorté les clients à appliquer immédiatement des mesures d'atténuation pour la vulnérabilité, qui était déjà attaquée, alors qu'elle travaillait sur un correctif qui a été publié plus tard dans la journée. Des fournisseurs de sécurité comme Rapid7 ont signalé peu de temps après que la faille était exploitée activement dans la nature. Microsoft a publié dimanche de nouvelles recherches attribuant les attaques à un acteur menaçant qu'il a surnommé "Lace Tempest", qui était lié au gang de rançongiciels Clop.
Plusieurs organisations ont maintenant confirmé des violations de données qui se sont produites à la suite de la vulnérabilité, soit via la faille directement, soit en aval. Zellis, basé au Royaume-Uni, a déclaré lundi dans un communiqué de presse qu'"un petit nombre de nos clients ont été touchés par ce problème mondial et nous travaillons activement pour les soutenir".
"Une fois que nous avons pris connaissance de cet incident, nous avons pris des mesures immédiates, déconnectant le serveur qui utilise le logiciel MoveIt et engageant une équipe d'experts externes en réponse aux incidents de sécurité pour aider à l'analyse médico-légale et à la surveillance continue", indique le communiqué. "Nous avons également notifié l'ICO, le DPC et le NCSC au Royaume-Uni et en Irlande. Nous utilisons des processus de sécurité robustes dans tous nos services et ils continuent tous à fonctionner normalement."
La BBC, British Airways (BA) et le détaillant britannique Boots ont tous confirmé les attaques résultant de la faille, et BA a confirmé à la publication sœur de TechTarget, ComputerWeekly, que sa violation avait commencé en aval de Zellis.
Le gouvernement de la Nouvelle-Écosse, au Canada, a également confirmé mardi une attaque liée à MoveIt Transfer via un communiqué de presse. Le gouvernement a estimé que les données personnelles de pas moins de 100 000 employés publics passés et actuels pourraient avoir été compromises à la suite de cette violation.
"La province a déterminé que les informations personnelles de nombreux employés de Nova Scotia Health, du IWK Health Centre et de la fonction publique ont été volées dans le cadre de la faille de cybersécurité mondiale MoveIt", indique le communiqué. "Jusqu'à présent, l'enquête provinciale indique que des numéros d'assurance sociale, des adresses et des informations bancaires ont été volés. La quantité et le type d'informations dépendent de l'employeur. Ces informations ont été partagées via le service de transfert de fichiers MoveIt car ce service est utilisé pour transférer la paie des employés. information."
L'Université de Rochester, basée à New York, a révélé une violation le 2 juin, bien qu'elle n'ait pas fait référence à MoveIt Transfer par son nom. Il a évoqué l'origine de l'attaque qu'il a subie comme "une vulnérabilité logicielle dans un produit fourni par une société tierce de transfert de fichiers" qui "a affecté l'Université et environ 2 500 organisations dans le monde".
"Pour le moment, nous pensons que les professeurs, le personnel et les étudiants pourraient être touchés, mais nous ne connaissons pas encore l'ampleur de l'impact sur les membres de la communauté universitaire ni les données personnelles consultées, car l'enquête est en cours", a déclaré la divulgation de la violation. lire. "Nous fournirons des mises à jour dès qu'elles seront disponibles."
TechTarget Editorial a contacté l'université pour confirmer si l'attaque était liée à MoveIt Transfer, mais l'université n'a pas répondu au moment de mettre sous presse.
Clop a annoncé sur son site de fuite de données plus tôt cette semaine qu'il commencera à publier les noms des victimes sur le site si ces organisations ne contactent pas le gang de rançongiciels d'ici le 14 juin. Le gang, qui se dit "l'une des meilleures organisations [ qui] offrent un service de test d'intrusion après coup », a déclaré qu'il commencera à publier les données des victimes après sept jours si un paiement n'est pas effectué.
Curieusement, Clop a également annoncé qu'il avait effacé toutes les données des agences gouvernementales, des services municipaux ou des services de police, et que ces organisations n'ont pas besoin de contacter le gang des rançongiciels. "Nous n'avons aucun intérêt à divulguer de telles informations", a déclaré Clop.
Alexander Culafi est un écrivain, journaliste et podcasteur basé à Boston.