ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), Progress Software’in MOVEit dosya aktarım aracının toplu ihlaliyle ilgili bir soruşturma başlattı. Bu ihlalin şu anda 2.000’den fazla kuruluşu etkilediği ve yaklaşık 64 milyon kişinin kişisel verilerini açığa çıkardığı tahmin ediliyor.
Mayıs 2023’ün sonlarında fidye yazılımı operasyonu Clop (veya Cl0p) tarafından gerçekleştirilen ihlal, araçtaki sıfır gün yapılandırılmış sorgu dili ekleme güvenlik açığından yararlanılmasını içeriyordu ve bu güvenlik açığı, suç örgütünün çeşitli kuruluşlardan büyük miktarda veri sızdırmasına olanak tanıdı. fidye yazılımı dolabını dağıtmadan.
Progress Software olayı takip eden haftalarda üç ayrı güvenlik açığını (CVE-2023-34362, CVE-2023-35036 ve CVE-2023-35708) yamalamış olsa da, Clop’un parçala-yakala sızma taktikleri önemli bir güvenlik açığını çalabileceği anlamına geliyordu. Yamalar uygulanmadan önce bir miktar veriyi ele geçirmek ve mağdurlardan zorla ödeme almak için bu verileri yayınlama tehdidini kullanmak.
Progress Software, düzenleyici makamlara yönelik bir başvuruda, 2 Ekim’de SEC’den “MOVEit Güvenlik Açığı ile ilgili çeşitli belgeler ve bilgiler isteyen” bir mahkeme celbi aldığını belirterek, düzenleyicinin bu aşamadaki soruşturmasının bilgi toplama ile sınırlı olduğunu ekledi.
“Soruşturma, Progress’in veya başka birinin federal menkul kıymetler yasalarını ihlal ettiği anlamına gelmez ve soruşturma, SEC’in herhangi bir kişi, kuruluş veya menkul kıymet hakkında olumsuz görüşe sahip olduğu anlamına gelmez” diye yazdı. “Progress, soruşturmasında SEC ile tam işbirliği yapmayı amaçlıyor.”
Güvenlik tedarikçisi Emsisoft’un araştırmasına göre, 12 Ekim itibarıyla olaydan etkilenen mevcut kurum sayısı 2.547’ye, etkilenen kişi sayısı ise 64.467.518’e ulaştı.
Progress Software, başvurusunda ihlalin bir sonucu olarak düzinelerce hukuki mücadeleyle karşı karşıya olduğunu doğruladı; bunların arasında müşterilerden gelen ve sayısı belirtilmeyen sayıda tazminat isteyen 23 resmi mektup; güvenlik açığıyla bağlantılı olarak ortaya çıkan tüm masrafların karşılanmasını isteyen bir halefiyet bildirimi sunan bir sigortacı; ve veri sızdırılmasından etkilendiğini iddia eden kişiler tarafından açılan 58 toplu dava.
Halihazırda yapılan harcamalar açısından, başvuruda MOVEit güvenlik açığının şirkete şu ana kadar yaklaşık 1 milyon dolara mal olduğu, ancak devam eden tüm yasal konular ve soruşturmalar nedeniyle tam maliyetin henüz bilinmediği de eklendi.
“Davaya ilişkin olarak, yargılamalar henüz erken aşamalardadır, iddia edilen zararlar belirtilmemiştir, bir sınıf veya sınıfların sertifikalandırılma olasılığı veya sertifikalandırılmışsa herhangi bir sınıfın nihai büyüklüğü konusunda belirsizlik vardır ve önemli hasarlar mevcuttur. Fiili ve hukuki sorunların çözülmesi gerekiyor” dedi.
“Ayrıca, yukarıda bahsedilen hükümet soruşturmaları ve soruşturmalarının her biri, tutarı, kapsamı ve zamanlaması önemli olabilecek ancak şu anda tahmin edemediğimiz olumsuz hükümler, uzlaşmalar, para cezaları, cezalar veya diğer kararlarla sonuçlanabilir. Bu nedenle, 31 Ağustos 2023 itibarıyla MOVEit Güvenlik Açığı için herhangi bir kayıp beklenmedik durum yükümlülüğü kaydetmedik.”
Progress Software, Kasım 2022’de meydana gelen ayrı bir siber güvenlik olayıyla ilgili olarak 4,2 milyon dolarlık ek maliyete maruz kalmayı beklediğini ancak bu olayla ilgili firma tarafından gelecek ay açıklanması dışında hiçbir ayrıntının bulunmadığını ekledi.
Bir Progress Software sözcüsü, TechCrunch’a, şirketin tamamen çalışır durumda kaldığı Kasım 2022 olayının “yakın zamanda bildirilen herhangi bir yazılım güvenlik açığıyla” ilgili olmadığını söyledi.
Durumu Mayıs ayında ilk kez açıklanmasından bu yana takip eden Emsisoft tehdit analisti Brett Callow, Recorded Future News’a verdiği demeçte, Clop ve diğer tehdit aktörlerinin sızdırılan verileri diğer kuruluşlara daha fazla siber saldırı başlatmak için kullanmalarının çok muhtemel olduğunu söyledi. Kimlik avı ve iş e-postası uzlaşma saldırıları.