Le département de l’éducation de la ville de New York (NYC DOE) affirme que des pirates ont volé des documents contenant les informations personnelles sensibles de jusqu’à 45 000 étudiants sur son serveur MOVEit Transfer.
Le logiciel de transfert de fichiers géré (MFT) a été utilisé par NYC DOE pour transférer en toute sécurité des données et des documents en interne et en externe vers divers fournisseurs, y compris des prestataires de services d’éducation spécialisée.
NYC DOE a corrigé les serveurs dès que le développeur a divulgué des informations sur la vulnérabilité exploitée (CVE-2023-34362) ; cependant, les attaquants abusaient déjà du bogue dans des attaques à grande échelle comme un jour zéro avant que les mises à jour de sécurité ne soient disponibles.
Le serveur concerné a été mis hors ligne après la découverte de la violation, et NYC DOE travaille avec NYC Cyber Command pour résoudre l’incident.
« Nous avons également mené une enquête interne, qui a révélé que certains fichiers du DOE étaient affectés. L’examen des fichiers concernés est en cours, mais les résultats préliminaires indiquent qu’environ 45 000 étudiants, en plus du personnel du DOE et des prestataires de services connexes, ont été affectés », NYC DOE COO Emma Vadehra a déclaré dans un communiqué publié ce week-end.
« Environ 19 000 documents ont été consultés sans autorisation. Les types de données concernées comprennent les numéros de sécurité sociale et les numéros d’identification des employés (pas nécessairement pour toutes les personnes concernées ; par exemple, environ 9 000 numéros de sécurité sociale ont été inclus).
« Le FBI enquête sur la violation plus large qui a touché des centaines d’entités ; nous coopérons actuellement avec le NYPD et le FBI dans le cadre de leur enquête. »
Le gang de rançongiciels Clop a revendiqué la responsabilité des attaques CVE-2023-34362 MOVEit Transfer le 5 juin dans une déclaration partagée avec Breachtrace, le gang de cybercriminalité affirmant avoir violé les serveurs MOVEit de « centaines d’entreprises ».
Kroll a également découvert des preuves que Clop testait activement des exploits pour le MOVEit zero-day désormais corrigé depuis 2021 et recherchait des méthodes pour extraire des données de serveurs compromis depuis au moins avril 2022.
L’implication de Clop dans cette vaste campagne de vol de données fait partie d’un schéma plus large de ciblage des plates-formes MFT.
Les exemples précédents incluent la violation des serveurs Accellion FTA en décembre 2020, les serveurs SolarWinds Serv-U en 2021 et l’exploitation généralisée des serveurs GoAnywhere MFT plus tôt cette année en janvier.
Clop extorque déjà les organisations impactées
Le gang Clop a commencé à extorquer les organisations touchées par les attaques de vol de données MOVEit il y a près de deux semaines, le 15 juin, en inscrivant publiquement leurs noms sur le site de fuite de données du dark web de Clop.
Shell, l’Université de Géorgie (UGA) et le système universitaire de Géorgie (USG), Heidelberger Druck, UnitedHealthcare Student Resources (UHSR) et Landal Greenparks ne sont que quelques-unes des organisations qui ont confirmé à Breachtrace qu’elles étaient impactées.
Parmi les autres victimes qui ont déjà divulgué des violations liées aux attaques de MOVEit Transfer figurent l’État américain du Missouri, l’État américain de l’Illinois, Zellis (ainsi que ses clients BBC, Boots, Aer Lingus et le HSE irlandais), Ofcam, le gouvernement de la Nouvelle-Écosse , l’American Board of Internal Medicine et Extreme Networks.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a révélé que plusieurs agences fédérales américaines ont également été compromises, comme l’a rapporté CNN. Federal News Network a déclaré que les attaques avaient également touché deux entités du Département américain de l’énergie (DOE).
Progress a averti les clients de MOVEit Transfer la semaine dernière de restreindre l’accès HTTP à leurs serveurs après la publication en ligne d’informations sur une nouvelle faille de sécurité par injection SQL (SQLi) (CVE-2023-35708).
Cet avertissement est venu après qu’un autre avis ait révélé plusieurs autres vulnérabilités critiques d’injection SQL suivies collectivement sous le nom de CVE-2023-35036.