British Airways, Boots y la BBC confirmaron el lunes que se vieron afectados por un «incidente de seguridad cibernética» que involucró a su proveedor de nómina y que afectó a algunos de los nombres más conocidos del Reino Unido.
BA dijo que el incidente en Zellis, su proveedor de nómina, fue el resultado de una “vulnerabilidad nueva y previamente desconocida” en una herramienta de transferencia de archivos desarrollada por una empresa llamada MOVEit.
“Hemos notificado a aquellos colegas cuya información personal se ha visto comprometida para brindar apoyo y asesoramiento”, dijo BA.
Boots confirmó que también había sido alcanzado.
El minorista dijo: “Nuestro proveedor nos aseguró que se tomaron medidas inmediatas para desactivar el servidor y, como prioridad, hemos informado a los miembros de nuestro equipo”.
La BBC confirmó que también se había visto afectada por el ciberataque. La emisora nacional, que emplea a unas 20.000 personas, también ha alertado al personal sobre la posible infracción.
Personas familiarizadas con la respuesta interna de la BBC dijeron que no creían que la violación de datos incluyera detalles de cuentas bancarias, pero estaban trabajando con Zellis para averiguar más sobre el ataque cibernético.
La BBC dijo: “Somos conscientes de una violación de datos en nuestro proveedor externo, Zellis, y estamos trabajando en estrecha colaboración con ellos mientras investigan con urgencia el alcance de la violación. Nos tomamos la seguridad de los datos muy en serio y estamos siguiendo los procedimientos de información establecidos”.
El efecto sobre las empresas fue informado por primera vez por el Daily Telegraph.
Zellis dijo que un «pequeño número» de sus clientes se había visto afectado por el «problema global». Estaba trabajando para apoyarlos, dijo, y agregó que el problema era con el software de MOVEit, no con Zellis.
“Todo el software propiedad de Zellis no se ve afectado y no hay incidentes ni compromisos asociados con ninguna otra parte de nuestro patrimonio de TI”, dijo.
Una persona cercana a la empresa indicó que solo ocho clientes habían tenido problemas.
“Una vez que nos dimos cuenta de este incidente, tomamos medidas inmediatas, desconectamos el servidor que utiliza el software MOVEit y contratamos a un equipo externo experto en respuesta a incidentes de seguridad para ayudar con el análisis forense y el monitoreo continuo”, dijo Zellis.
Los piratas informáticos parecían haber explotado una vulnerabilidad revelada recientemente en el software MOVEit ampliamente utilizado, fabricado por Progress, una empresa con sede en Burlington, Massachusetts. El software está diseñado para ayudar a mover datos de forma segura, pero el 31 de mayo, la empresa clientes informados que su software tenía una debilidad desconocida, llamada Zero Day, que permitía a los piratas informáticos acceder a esos datos y manipularlos.
En algunos casos, un administrador de tecnología familiarizado con la vulnerabilidad le dijo al Financial Times que los piratas informáticos pudieron agregar nuevos usuarios para el acceso persistente a los datos. Progress dijo que las infracciones se habían observado en mayo y sugirió ajustes en la configuración de su software para cortar las fugas de datos mientras se espera una actualización más efectiva.
Mandiant, propiedad de Google, que brinda regularmente una respuesta de emergencia en tales escenarios, dijo que, según la experiencia previa, era probable que los clientes del software pronto comenzaran a recibir solicitudes de ransomware que exigieran pagos para evitar la liberación de toda la información robada.
Atribuyó las infracciones a un grupo previamente desconocido que había afectado a organizaciones que operaban en “una amplia gama de industrias con sede en Canadá, India y Estados Unidos”.
Tales vulnerabilidades a menudo se comparten dentro de bandas criminales, en su mayoría con sede en Rusia, lo que significa que podrían haber sido explotadas por varios grupos de piratas informáticos en las últimas semanas.
Zellis dijo que había informado a la Oficina del Comisionado de Información del Reino Unido, al director de la acusación pública y al Centro Nacional de Seguridad Cibernética, así como a sus equivalentes en Irlanda.
“Empleamos procesos de seguridad robustos en todos nuestros servicios y todos continúan funcionando con normalidad”, dijo la compañía.