L’État du Maine a annoncé que ses systèmes avaient été piratés après que des acteurs malveillants ont exploité une vulnérabilité de l’outil de transfert de fichiers MOVEit et accédé aux informations personnelles d’environ 1,3 million de personnes, soit près de l’ensemble de la population de l’État.
Les attaques MOVEit faisaient partie d’une campagne massive de vol de données menée par le groupe de ransomwares Clop qui, le 27 mai, a commencé à exploiter une vulnérabilité Zero Day dans le produit logiciel.
Diverses agences de l’État du Maine faisaient partie des milliers d’organisations dans le monde utilisant le produit de transfert de données Progress Software.
« Le 31 mai 2023, l’État du Maine a pris connaissance d’une vulnérabilité logicielle dans MOVEit, un outil tiers de transfert de fichiers appartenant à Progress Software et utilisé par des milliers d’entités dans le monde pour envoyer et recevoir des données », peut-on lire dans le communiqué de presse.
« La vulnérabilité logicielle a été exploitée par un groupe de cybercriminels et leur a permis d’accéder et de télécharger des fichiers appartenant à certaines agences de l’État du Maine entre le 28 mai 2023 et le 29 mai 2023 » – L’État du Maine
Les informations exposées appartenant à 1,3 million de personnes, y compris des mineurs, concernent les types de données suivants :
- Nom et prénom
- Numéro de sécurité sociale (SSN)
- Date de naissance
- Le permis de conduire
- Numéro d’identification de l’État
- Numéro d’identification fiscale
- Informations sur l’assurance maladie
Les types exacts de données exposés pour chaque individu varient en fonction de leur interaction avec les agences d’État du Maine.
L’agence la plus touchée a été le ministère de la Santé et des Services sociaux du Maine, suivi du ministère de l’Éducation du Maine.
Les autres départements touchés par la violation de MOVEit, quoique dans une moindre mesure, sont les services administratifs et financiers, l’indemnisation des accidents du travail, le Bureau des véhicules automobiles, les services correctionnels, le développement économique et communautaire, la réglementation professionnelle et financière et le travail.
L’État du Maine explique que le retard dans la notification au public de l’exposition de données sensibles était dû à la réalisation d’une enquête approfondie.
Tous les citoyens concernés dont les SSN ou les informations fiscales ont été exposés recevront des notifications contenant des instructions pour opter pour des services gratuits de surveillance du crédit et de protection contre le vol d’identité pendant deux ans.
Il est conseillé aux destinataires de surveiller régulièrement leurs comptes financiers à la recherche d’activités suspectes ou de frais qu’ils ne reconnaissent pas et de contacter leur banque et/ou les autorités chargées de l’application de la loi pour les signaler dès que possible.
L’État du Maine a également mis en place un centre d’appels dédié pour répondre aux préoccupations des citoyens concernant cet incident de sécurité au (877) 618-3659 (du lundi au vendredi, de 9 h à 21 h HE).