Reciba actualizaciones gratuitas de seguridad cibernética
Te enviaremos un Resumen diario de myFT correo electrónico redondeando lo último La seguridad cibernética noticias cada mañana.
Calpers, el plan de pensiones público más grande de los EE. UU., se ha convertido en la última organización afectada por el ataque cibernético MOVEit con alrededor de 770,000 de sus miembros afectados por la violación de datos global.
En un comunicado publicado en su sitio web, el fondo de pensiones de $442 mil millones alertó a sus miembros jubilados y sus familias que parte de su información personal, incluidas las fechas de nacimiento y los números de seguro social, se descargó durante un incidente que afectó a su proveedor externo contratado PBI Research. Servicios/Grupo Berwyn. El incidente involucró al servicio de transferencia de archivos MOVEit.
«El 6 de junio de 2023, PBI notificó a Calpers que una vulnerabilidad de ‘día cero’ previamente desconocida en su aplicación de transferencia MOVEit permitió que un tercero no autorizado descargara nuestros datos», dijo Calpers en el comunicado. Una vulnerabilidad de día cero es una falla de seguridad que aún no ha sido identificada o reparada por el proveedor de software.
El fondo con sede en California estima que el incidente de seguridad afectó la información personal de unos 769.000 miembros.
“Esta violación externa de información es inexcusable”, dijo la directora ejecutiva de Calpers, Marcie Frost.
“Nuestros miembros merecen algo mejor. Tan pronto como nos enteramos de lo sucedido, tomamos medidas rápidas para proteger los intereses financieros de nuestros miembros, así como medidas para garantizar la protección a largo plazo”.
PBI informó el asunto a la policía federal y le dijo a Calpers que resolvió la vulnerabilidad al mismo tiempo que implementó medidas de seguridad adicionales.
A principios de este mes, decenas de miles de empleados de algunas de las empresas más grandes de Gran Bretaña vieron sus datos personales comprometidos por una banda criminal de habla rusa detrás del hackeo de MOVEit. En ese momento, los expertos dijeron que esperaban que el ataque se extendiera a los EE. UU. y atrapara a más víctimas.
Las demandas anteriores de la supuesta pandilla rusa, apodada Clop por expertos en seguridad cibernética, han sido regularmente más de $ 1 millón y hasta $ 35 millones.
Se sabe que el grupo de piratería Clop busca vulnerabilidades en el software seguro de transferencia de archivos, ya que la ley a menudo exige que las empresas manejen algunos de sus datos más valiosos con dichos proveedores.
El fabricante de MOVEit informó a los clientes el 31 de mayo que su software tenía una debilidad desconocida que permitía a los hackers robar grandes cantidades de datos.