La SEC a terminé son enquête sur la gestion par Progress Software de l’exploitation généralisée d’une faille zero-day de MOVEit Transfer qui a exposé les données de plus de 95 millions de personnes.
Dans un nouveau FORMULAIRE 8-K déposé auprès de la SEC, Progress Software indique que la Division de l’exécution de la SEC ne recommandera aucune mesure d’exécution concernant l’incident de sécurité.
« La SEC a informé Progress qu’elle n’avait pas l’intention de recommander une action coercitive contre la société pour le moment », peut-on lire dans le dépôt de jeudi soir auprès de la SEC.
« Comme indiqué précédemment, Progress a reçu une assignation à comparaître de la SEC le 2 octobre 2023, dans le cadre d’une enquête d’établissement des faits visant à obtenir divers documents et informations relatifs à la vulnérabilité MOVEit. »
La SEC a enquêté sur la gestion par Progress Software des attaques généralisées de vol de données menées via une vulnérabilité zero-day dans le logiciel MOVEit Transfer.
Comme l’a signalé pour la première fois Breachtrace, lors du week-end férié du Memorial Day 2023, le gang de ransomwares Clop a profité de la vulnérabilité zero-day pour lancer une campagne de vol de données à grande échelle contre des entreprises du monde entier.
Selon Emsisoft, qui a suivi l’impact des attaques, plus de 2 770 entreprises et 95 millions de personnes se sont fait voler des données via la faille zero-day.
Le gang Clop devait gagner entre 75 et 100 millions de dollars en rançons en raison du large impact des attaques, qui comprenaient des agences gouvernementales, des sociétés financières, des organisations de soins de santé, des compagnies aériennes et des établissements d’enseignement.
Bien que la SEC ne recommande aucune action, Progress Software fait toujours face à des centaines de recours collectifs centralisés devant les tribunaux fédéraux du Massachusetts.