Le sous-traitant des services gouvernementaux américains Maximus a divulgué un avertissement de violation de données selon lequel des pirates ont volé les données personnelles de 8 à 11 millions de personnes lors des récentes attaques de vol de données MOVEit Transfer.
Maximus est un entrepreneur qui gère et administre les programmes parrainés par le gouvernement américain, y compris les programmes de soins de santé fédéraux et locaux et le service des prêts étudiants. La société emploie 34 300 personnes et réalise un chiffre d’affaires annuel d’environ 4,25 milliards de dollars, avec une présence aux États-Unis, au Canada, en Australie et au Royaume-Uni.
Dans un formulaire 8-K déposé auprès de la Securities and Exchange Commission (SEC), Maximum a révélé que les données avaient été volées à l’aide d’une faille zero-day dans l’application de transfert de fichiers MOVEit (CVE-2023-34362). Le gang de rançongiciels Clop a largement exploité cette faille pour violer des centaines d’entreprises de premier plan dans le monde.
Après avoir enquêté sur la violation, Maximus n’a trouvé aucune indication que les pirates aient progressé plus loin que l’environnement MOVEit, qui a été immédiatement isolé du reste du réseau de l’entreprise.
Cependant, cet accès limité a suffi à compromettre un grand nombre d’individus à qui l’entreprise envoie désormais des notifications de violation de données.
« Sur la base de l’examen des fichiers concernés à ce jour, [Maximus] pense que ces fichiers contiennent des informations personnelles, y compris des numéros de sécurité sociale, des informations de santé protégées et / ou d’autres informations personnelles, d’au moins 8 à 11 millions de personnes à qui l’entreprise prévoit de fournir avis de l’incident », lit-on dans le dossier SEC 8-K.
« Maximus prévoit actuellement d’enregistrer une dépense d’environ 15 millions de dollars pour le trimestre clos le 30 juin 2023, ce qui représente la meilleure estimation de la société du total des activités d’enquête et de remédiation à engager en lien avec l’incident. »
Clop derrière la brèche
Hier, le gang de rançongiciels Clop a ajouté Maximus à son site de fuite de données sur le Web sombre dans le cadre d’un gros lot de 70 nouvelles victimes, toutes ayant été piratées à l’aide de la faille zero-day MOVEit.
L’entrée sur le site de Clop prétend qu’ils ont volé 169 Go de données lors de la violation sur le serveur MOVEit Transfer de Maximus. Cependant, aucune donnée n’a été divulguée jusqu’à présent, de sorte que le processus d’extorsion est toujours en cours.
Alors que la liste des victimes de la faille zero-day MOVEit s’allonge et que la taille de l’attaque normalise quelque peu les violations de données à grande échelle qui ont compromis les données de centaines de millions de personnes, le gang de rançongiciels Clop a eu recours à des tactiques d’extorsion plus agressives.
Récemment, ils ont lancé des sites Web clairs pour divulguer les données volées d’entreprises spécifiques, ce qui exerce un effet de levier supplémentaire sur les victimes car il rend les données plus accessibles à un public plus large.