British Airways y BBC afectadas por el suministro de MOVEit
British Airways, la BBC y la cadena de farmacias del Reino Unido Boots se encuentran entre las empresas cuyos datos se han visto comprometidos después de que malhechores explotaran una vulnerabilidad crítica en las implementaciones de la aplicación de transferencia de documentos MOVEit.
Microsoft cree que el equipo del ransomware Russian Clop robó la información.
British Airways, la BBC y Boots no se vieron afectadas directamente. En cambio, el proveedor de servicios de nómina Zellis admitió el lunes que su instalación de MOVEit había sido explotada y, como resultado, "a un pequeño número de nuestros clientes", incluido el trío británico antes mencionado, les robaron la información.
Zellis afirma ser el mayor proveedor de nóminas y recursos humanos del Reino Unido, y entre sus clientes se encuentran Sky, Harrods, Jaguar, Land Rover, Dyson y Credit Suisse. En una declaración publicada en su sitio web, Zellis culpó a la vulnerabilidad MOVEit por la brecha de seguridad y señaló que "todo el software propiedad de Zellis no se ve afectado y no hay incidentes asociados o compromisos con ninguna otra parte de nuestro patrimonio de TI".
La compañía no respondió las preguntas específicas de The Register, incluidos cuántos y qué clientes se vieron afectados, y a qué datos se accedió. En cambio, los hilanderos del negocio repitieron la declaración publicada en el sitio web.
El agujero de seguridad salió a la luz el pasado jueves. Y casi de inmediato, los investigadores de seguridad comenzaron a advertir que los delincuentes habían estado "explotando en masa" la vulnerabilidad de inyección de SQL en MOVEit durante al menos un mes para ingresar a los entornos de TI y robar datos.
Desde entonces, al error se le asignó un CVE y ahora se rastrea como CVE-2023-34362. El desarrollador de la aplicación, Progress, reparó la falla el viernes. Un portavoz se negó a responder las preguntas específicas de The Register, pero proporcionó esta declaración por correo electrónico:
Progress se toma muy en serio la seguridad de nuestros clientes. No podemos divulgar información sobre nuestros clientes de MOVEit Transfer y MOVEit Cloud. Sin embargo, podemos confirmar que tomamos medidas inmediatas para proteger los entornos de los clientes: primero, brindamos instrucciones para la mitigación inmediata, seguidas del lanzamiento de un parche para todos los clientes de MOVEit Transfer, dentro de las 48 horas posteriores a la identificación de la vulnerabilidad.
El domingo, Microsoft atribuyó los robos a una pandilla de ransomware que rastrea como Lace Tempest, que administra el sitio de extorsión Clop. "El actor de amenazas ha utilizado vulnerabilidades similares en el pasado para robar datos y extorsionar a las víctimas", dijo Redmond en el primero de una serie de tuits.
British Airways, que tiene unos 35.000 empleados, confirmó que fue una de las víctimas de lo que ahora parece otro gran ataque a la cadena de suministro.
"Se nos ha informado que somos una de las empresas afectadas por el incidente de seguridad cibernética de Zellis que ocurrió a través de uno de sus proveedores externos llamado MOVEit", dijo un portavoz de British Airways a The Register. "Hemos notificado a aquellos colegas cuya información personal se ha visto comprometida para brindar apoyo y asesoramiento".
Tanto British Airways como Zellis dijeron que habían informado de la intrusión a la Oficina del Comisionado de Información (ICO) del Reino Unido, y Zellis notificó a la contraparte del organismo de control de la privacidad en Irlanda, así como a la policía cibernética británica.
Otro cliente de Zellis, la BBC, informó sobre el robo de información personal de su personal y que los usuarios de nómina de Zellis, Boots y Aer Lingus, se encuentran entre los afectados por el hackeo.
La BBC dijo que los datos robados incluían números de identificación del personal, fechas de nacimiento, domicilios y números de seguros nacionales. Esta última información es particularmente valiosa para los ladrones de identidad.
Boots no respondió de inmediato a las consultas de The Register. La compañía británica se fusionó con el gigante farmacéutico minorista estadounidense Walgreens en 2006, formando la Walgreen Boots Alliance, y no está claro si se robó información de los trabajadores de Walgreens en este caso. ®
Envíanos noticias
23 23 Consigue nuestro 23