Progress Software’in etkisi minimum düzeyde oldu dosya aktarım hizmeti MOVEit’teki sıfır gün güvenlik açığından toplu olarak yararlanma 2.100’den fazla kuruluşu etkileyen tedarik zincirindeki uzlaşmalara rağmen. Araştırmacılar, saldırılar nedeniyle en az 62 milyon kişinin verilerinin açığa çıktığını söylüyor.
Progress, faaliyetleri sırasında siber olay ve güvenlik açığı müdahale giderlerinde 951.000 ABD Doları bildirdi. mali üçüncü çeyrek31 Ağustos’ta sona eren ve daha fazla ayrıntının gelecek 10-Q’da yer alacağını söyledi.
Maliyet, çeyrekte rapor edilen ve yıllık bazda %6 artış gösteren 175 milyon dolarlık İlerleme gelirinin %0,5’ini temsil ediyor.
CEO Yogesh Gupta Salı günü şirketin kazanç görüşmesi sırasında yaptığı açıklamada, genel iş üzerindeki etkinin “minimum” olduğunu ve herhangi bir davanın etkisini değerlendirmek için henüz çok erken olduğunu söyledi.
“FAslında müşterilerimizin bakış açısına göre müşterilerimiz, onlar için yaptıklarımıza son derece olumlu yaklaştılar,” dedi Gupta..
“Bu noktada müşterilerimizden anlamlı etki diyebileceğim bir etki göremiyoruz” dedi.
İlerleme, MOVEit’in finansal performansına ilişkin rakamları tek başına açıklamıyor, ancak şirket bunu söylüyor toplam gelirinin %4’ünden azını temsil ediyor.
Gupta, bir Wall Street analistinin Mayıs ayı sonlarında meydana gelen saldırılardan bu yana kaç müşterinin platformdan ayrıldığına ilişkin sorusuna doğrudan yanıt vermedi.
İlerleme, daha önce bilinmeyen güvenlik açığı ilk keşfedildiğinde ve geniş çapta istismar edildiğinde kaç kuruluşun MOVEit kullandığına ilişkin birçok soruyu reddetti.
Sıfır gün güvenlik açığı açıklandı ve yamalı 31 Mayıs’ta, ancak hasar zaten verilmişti. Neredeyse dört ay sonra, kitlesel istismarın etkileri hâlâ yayılmaya devam ediyor ve bu da, bu yılın şimdiye kadarki en büyük siber saldırısı oldu.
Bir MOVEit sözcüsü Cybersecurity Dive’a e-posta yoluyla şunları söyledi: “Bu olayın başlangıcından bu yana verdiğimiz hızlı ve şeffaf yanıt, MOVEit müşterilerine de güven verdi ve bunun müşterilerimizi elde tutmamıza yardımcı olduğuna inanıyoruz.”
“Bu, gelişmiş bir suç örgütünün müşterilerimizin ortamlarına düzenlediği koordineli bir saldırıydı. MOVEit Transfer, müşterilerimizin ortamlarında çalıştırılan şirket içi bir yazılım olduğundan, siber suçluların eriştiği verileri göremiyoruz. Ancak gördüğümüz gibi, Medyada çalınan bilgi türüne ilişkin açıklamalar nedeniyle, bu saldırıdan etkilenen bireysel son kullanıcılarla derin bir empati duyuyoruz” dedi.
MOVEit, “Progress, müşterilerimizle yakın çalışmaya devam etti. Yaygın olarak kullanılan yazılım ürünlerindeki güvenlik açıklarından kötü niyetli bir şekilde yararlanmayı amaçlayan, giderek karmaşıklaşan ve ısrarcı siber suçlularla mücadele etmek için sektör çapındaki çabalarda işbirlikçi bir rol oynamaya kararlıyız” dedi.
Olası acı gelecek
Progress bugüne kadar MOVEit’in kitlesel istismarına bağlı herhangi bir önemli sonuca katlanmadı ancak bu durum değişebilir.
Gupta, kazanç açıklamasında şunları söyledi: “Henüz çok erken olduğu için gelecekteki dava etkisinin ne olacağını bilmiyoruz, ancak genel olarak müşteriler, dürüst olmak gerekirse, verdiğimiz yanıttan gerçekten memnun oldular.”
Şirketin açıklamasında, saldırılardan bir ay sonra, etkilenen dört müşterinin Progress’ten tazminat isteyeceklerini söylediği ve şahıslar tarafından şirkete karşı 11 toplu dava açıldığı belirtildi. 10-Q dosyalama 7 Temmuz’da.
Tüketici hakları hukuk firması Hagens Berman dava açtı Progress’e karşı ülke çapında beş toplu dava Ağustos ayında şirketi ihmal, haksız zenginleşme ve sözleşmeyi ihlal etmekle suçladı.
T-Mobile’ın 2021’deki ihlalinin ardından ödemeyi kabul ettiği 350 milyon dolarlık anlaşmayı sonuçlandırmak üzere seçilen firmalardan biri olan Hagens Berman, MOVEit’te yaygın olarak kullanılan güvenlik açığının 2021’den beri mevcut olduğunu iddia ediyor.
Progress, MOVEit güvenlik açığından yararlanılmasıyla ilgili ek soruşturma, yasal ve diğer masraflara maruz kalmayı bekliyor, ancak olası kayıpların bir aralığını makul bir şekilde tahmin edemediğini söyledi. Şirketin 12 milyon dolarlık siber poliçe kapsamı var ve bunu mümkün olan en üst düzeyde takip etmeyi planlıyor.
En büyük zararı müşteriler ödüyor
Saldırı sırasında hizmeti kullanan kuruluşlar ve ilgili müşterileri üzerindeki olumsuz etki çok büyük ve giderek artıyor.
Büyük finans kurumları, hukuk firmaları, sigorta sağlayıcıları, okullar, sağlık firmaları ve devlet kurumlarının tümü yavaş ilerleyen bu felaketten etkilendi.
Bu orantısız etki, davul sesinin neden Tasarım gereği güvenli ve varsayılan ilkeler gereği güvenli Gartner’ın seçkin Başkan Yardımcısı analisti Katell Thielemann’a göre ses giderek artıyor.
Thielemann, e-posta yoluyla şunları söyledi: “Ekonomik denklem şu ana kadar hassas ürünlerle uğraşma yükünün çoğunu kullanıcılara yükledi; bunların çoğunun bunlarla başa çıkma olasılığı en düşük.”
Thielemann, “Ve piyasa güçleri, üreticileri ilk etapta bunları önlemeye yeterince özen göstermeye zorlamak için gerçekten çalışmadı” dedi.
Arzulu hareket güvenlik sorumluluğunu değiştirme Üreticilere ve satıcılara teknoloji ürünleri ve hizmetleri sunmak, federal siber otoritelerin bu belgede özetlenen çabalarının temel direğidir. ulusal siber strateji.
R Street Institute Siber Güvenlik ve Ortaya Çıkan Tehditlerden Sorumlu Kıdemli Siber Uzmanı Amy Chang, “Bu değişimin birçok savunucusu, geliştiricilerin ve üreticilerin ürünlerini en iyi anladığını ve aynı zamanda yamalar, güncellemeler ve diğer hizmet çözümlerini yayınlayacak merkezi varlık olduklarını savunuyor” dedi. , e-posta yoluyla söyledi.
Chang, bu olayın aynı zamanda “güvenliği ihlal edilmiş yazılımın etkilerini düzeltmek için çok az başvuruya sahip olan satıcıların alt yöndeki etkilerini de vurguladığını” söyledi.
Chang, bilinen güvenlik açıklarını gidermede başarısız olan şirketlere yönelik yansımaların olması gerektiğini söyledi. Ancak “henüz keşfedilmemiş veya istismar edilmemiş güvenlik açıklarının sonuçlarını öngöremeyen herhangi bir şirketi cezalandırmak adil olmaz ve inovasyonu engelleme potansiyeline sahip olur.”