British Airways e BBC atingidas no fornecimento do MOVEit

A British Airways, a BBC e a cadeia de farmácias britânica Boots estão entre as empresas cujos dados foram comprometidos depois que criminosos exploraram uma vulnerabilidade crítica nas implantações do aplicativo de transferência de documentos MOVEit.

A Microsoft considera que a equipe do ransomware russo Clop roubou as informações.

A British Airways, a BBC e a Boots não foram atingidas diretamente. Em vez disso, o provedor de serviços de folha de pagamento Zellis admitiu na segunda-feira que sua instalação do MOVEit foi explorada e, como resultado, "um pequeno número de nossos clientes" - incluindo o trio britânico mencionado - teve suas informações roubadas.

A Zellis afirma ser a maior fornecedora de folha de pagamento e recursos humanos no Reino Unido, e seus clientes incluem Sky, Harrods, Jaguar, Land Rover, Dyson e Credit Suisse. Em um comunicado publicado em seu site, a Zellis culpou a vulnerabilidade do MOVEit pela violação de segurança e observou que "todo o software de propriedade da Zellis não foi afetado e não há incidentes associados ou comprometimento de qualquer outra parte de nosso patrimônio de TI".

A empresa não respondeu às perguntas específicas do The Register, incluindo quantos e quais clientes foram afetados e quais dados foram acessados. Os spinners do negócio, em vez disso, repetiram a declaração postada no site.

A falha de segurança veio à tona na última quinta-feira. E quase imediatamente os pesquisadores de segurança começaram a alertar que os criminosos estavam "explorando em massa" a vulnerabilidade de injeção de SQL no MOVEit por pelo menos um mês para invadir ambientes de TI e roubar dados.

Desde então, o bug recebeu um CVE e agora é rastreado como CVE-2023-34362. O desenvolvedor do aplicativo, Progress, corrigiu a falha na sexta-feira. Um porta-voz se recusou a responder às perguntas específicas do The Register, mas forneceu esta declaração por e-mail:

A Progress leva muito a sério a segurança de nossos clientes. Não podemos divulgar informações sobre nossos clientes MOVEit Transfer e MOVEit Cloud. No entanto, podemos confirmar que tomamos medidas imediatas para proteger os ambientes dos clientes - primeiro, fornecendo instruções para mitigação imediata, seguidas pelo lançamento de um patch para todos os clientes do MOVEit Transfer, dentro de 48 horas após a identificação da vulnerabilidade.

No domingo, a Microsoft atribuiu os roubos a uma gangue de ransomware que rastreia como Lace Tempest, que administra o site de extorsão Clop. “O agente de ameaças usou vulnerabilidades semelhantes no passado para roubar dados e extorquir vítimas”, disse Redmond no primeiro de uma série de tuítes.

A British Airways, que tem cerca de 35.000 funcionários, confirmou que foi uma das vítimas no que agora parece ser outro grande ataque na cadeia de suprimentos.

“Fomos informados de que somos uma das empresas afetadas pelo incidente de segurança cibernética de Zellis, que ocorreu por meio de um de seus fornecedores terceirizados chamado MOVEit”, disse um porta-voz da British Airways ao The Register. "Notificamos os colegas cujas informações pessoais foram comprometidas para fornecer suporte e aconselhamento."

Tanto a British Airways quanto a Zellis disseram que relataram a invasão ao Information Commissioner's Office (ICO) do Reino Unido, e Zellis notificou a contraparte do órgão regulador da privacidade na Irlanda, bem como a ciber-polícia britânica.

Outro cliente da Zellis, a BBC, informou sobre o roubo de informações pessoais de sua equipe e que outros usuários da folha de pagamento da Zellis, Boots e Aer Lingus, estão entre os afetados pelo hack.

A BBC disse que os dados roubados incluíam números de identificação de funcionários, datas de nascimento, endereços residenciais e números de seguro nacional. A última informação é particularmente valiosa para ladrões de identidade.

Boots não respondeu imediatamente às perguntas do The Register. A empresa britânica fundiu-se com a Walgreens, gigante farmacêutica do varejo americano, em 2006, formando a Walgreen Boots Alliance, e não está claro se alguma informação de funcionário da Walgreens foi roubada neste caso. ®

Envie-nos notícias