La Louisiane et l’Oregon avertissent que des millions de permis de conduire ont été exposés à une violation de données après qu’un gang de rançongiciels a piraté leurs systèmes de transfert de fichiers de sécurité MOVEit Transfer pour voler des données stockées.

Ces attaques ont été menées par l’opération de rançongiciel Clop, qui a lancé le 27 mai des hacks mondiaux des serveurs MOVEit Transfer en utilisant une vulnérabilité zero-day jusqu’alors inconnue suivie sous le nom de CVE-2023-34362.

Ces attaques ont conduit à des divulgations généralisées de violations de données dans le monde entier, affectant les entreprises, les agences gouvernementales fédérales et les agences étatiques locales.

Selon les communiqués de presse du Louisiana Office of Motor Vehicles et de l’Oregon Driver & Motor Vehicle Services, les deux agences ont utilisé le logiciel MOVEit Transfer, qui a été piraté lors de ces attaques.

Des millions de permis de conduire volés
L’Office des véhicules à moteur de Louisiane (OMV) a annoncé hier qu’il pensait que tous les Louisianais titulaires d’un permis de conduire, d’une carte d’identité ou d’une immatriculation de voiture délivrés par l’État avaient probablement leurs données exposées aux acteurs de la menace.

« L’Office of Motor Vehicles (OMV) de Louisiane fait partie d’un nombre encore indéterminé d’entités gouvernementales, de grandes entreprises et d’organisations touchées par la violation de données sans précédent de MOVEit », explique une alerte de l’OMV de Louisiane.

L’OMV indique que les personnes concernées ont probablement exposé les informations personnelles suivantes :

  • Nom
  • Adresse
  • Numéro de sécurité sociale
  • Date de naissance
  • Hauteur
  • Couleur des yeux
  • Numéro de permis de conduire
  • Informations sur l’immatriculation du véhicule
  • Informations sur la plaquette de handicap

Cependant, l’agence affirme que rien n’indique que Clop ait utilisé, vendu, partagé ou publié l’une de ces données, de sorte que les données volées peuvent avoir été supprimées car les acteurs du ransomware ont promis dans leur annonce de supprimer toutes les données gouvernementales volées.

« Je veux vous dire tout de suite que l’armée, les hôpitaux pour enfants, le GOV, etc., nous ne pouvons pas attaquer, et leurs données ont été effacées », a déclaré le gang Clop à Breachtrace dans un e-mail plus tôt ce mois-ci.

Néanmoins, des millions de personnes vivant en Louisiane devraient toujours considérer leurs données à risque. Il leur est conseillé de prendre les mesures appropriées pour protéger leur identité, réinitialiser leurs mots de passe, geler le crédit de leurs comptes bancaires et signaler toute activité suspecte aux autorités et aux émetteurs de leurs cartes.

Le DMV de l’Oregon a publié une déclaration similaire et un communiqué de presse expliquant que sa violation de données MOVEit Transfer a touché environ 3 500 000 Oregoniens avec une pièce d’identité ou un permis de conduire.

« Depuis 2015, ODOT utilise MOVEit Transfer, un outil de partage de fichiers populaire créé et pris en charge par Progress Software Corp qui permet aux organisations de transférer en toute sécurité des fichiers et des données entre partenaires commerciaux et clients », lit-on dans le communiqué de presse d’Oregon DMV.

« Le lundi 12 juin, ODOT a confirmé que les données consultées contenaient des informations personnelles pour environ 3,5 millions d’Oregoniens. Bien qu’une grande partie de ces informations soit largement disponible, certaines d’entre elles sont des informations personnelles sensibles. »

Les autorités de l’Oregon ont déclaré qu’elles n’étaient pas en mesure d’identifier des victimes spécifiques, il est donc conseillé à tous les citoyens de prendre des précautions et de supposer que leurs données personnelles ont été exposées à des cybercriminels.

Alors que Clop a commencé mercredi à extorquer les victimes des attaques MOVEit en répertoriant les entreprises piratées sur le site de fuite de données de l’opération de ransomware, aucune donnée volée n’a encore été divulguée.

De plus, comme les DMV de la Louisiane et de l’Oregon relèvent de la catégorie gouvernementale, il est trop tôt pour dire si les extorqueurs de Clop tiendront leur promesse et supprimeront les données volées.

Même si ces données ne sont jamais utilisées dans des tentatives d’extorsion, il est possible que les données soient vendues à d’autres acteurs de la menace.

Par conséquent, toutes les personnes concernées en Oregon et en Louisiane doivent traiter leurs données comme à risque, surveiller les rapports de solvabilité pour le vol d’identité et rester vigilantes contre d’éventuelles attaques de phishing ciblées.

Parmi les autres organisations qui ont déjà divulgué des violations de MOVEit Transfer figurent les agences fédérales américaines, Zellis (BBC, Boots et Aer Lingus, le HSE irlandais via Zellis), l’Université de Rochester, le gouvernement de la Nouvelle-Écosse, l’État américain du Missouri, l’État américain de l’Illinois, BORN Ontario, Ofcam, Extreme Networks et l’American Board of Internal Medicine.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *