Recevez des mises à jour gratuites sur la cybersécurité
Nous vous enverrons un Résumé quotidien myFT e-mail récapitulant les dernières La cyber-sécurité nouvelles tous les matins.
Calpers, le plus grand régime de retraite public aux États-Unis, est devenu la dernière organisation à être touchée par la cyberattaque MOVEit avec environ 770 000 de ses membres touchés par la violation mondiale des données.
Dans une déclaration publiée sur son site Web, le fonds de pension de 442 milliards de dollars a alerté ses membres retraités et leurs familles que certaines de leurs informations personnelles, y compris les dates de naissance et les numéros de sécurité sociale, ont été téléchargées lors d’un incident affectant son fournisseur tiers sous contrat PBI Research. Services/Groupe Berwyn. L’incident concernait le service de transfert de fichiers MOVEit.
« Le 6 juin 2023, PBI a informé Calpers qu’une vulnérabilité » zero-day « jusqu’alors inconnue dans leur application de transfert MOVEit permettait à un tiers non autorisé de télécharger nos données », a déclaré Calpers dans le communiqué. Une vulnérabilité zero-day est une faille de sécurité qui n’a pas encore été identifiée ou corrigée par le fournisseur du logiciel.
Le fonds basé en Californie estime que l’incident de sécurité a affecté les informations personnelles d’environ 769 000 membres.
« Cette violation externe d’informations est inexcusable », a déclaré la directrice générale de Calpers, Marcie Frost.
« Nos membres méritent mieux. Dès que nous avons appris ce qui s’était passé, nous avons pris des mesures rapides pour protéger les intérêts financiers de nos membres, ainsi que des mesures pour assurer des protections à long terme.
PBI a signalé l’affaire aux forces de l’ordre fédérales et a déclaré à Calpers qu’elle avait résolu la vulnérabilité tout en mettant en place des mesures de sécurité supplémentaires.
Plus tôt ce mois-ci, des dizaines de milliers d’employés de certaines des plus grandes entreprises britanniques ont vu leurs données personnelles compromises par un gang criminel russophone derrière le piratage MOVEit. À l’époque, les experts ont déclaré qu’ils s’attendaient à ce que le piratage se propage aux États-Unis et prenne au piège davantage de victimes.
Les demandes antérieures du gang russe présumé, surnommé Clop par des experts en cybersécurité, ont régulièrement été supérieures à 1 million de dollars et atteignant 35 millions de dollars.
Le groupe de piratage Clop est connu pour rechercher les vulnérabilités des logiciels de transfert de fichiers sécurisés, car les entreprises sont souvent tenues par la loi de gérer certaines de leurs données les plus précieuses avec ces fournisseurs.
Le fabricant de MOVEit a informé ses clients le 31 mai que son logiciel présentait une faiblesse inconnue permettant aux pirates de voler de grandes quantités de données.