Serco sofre vazamento de dados de vulnerabilidade de transferência MOVEit

Jun 17, 2023

É o segundo empreiteiro do governo dos EUA em uma semana a ser atingido por hackers da gangue de ransomware Cl0p.

Por Cláudia Glover

A divisão norte-americana da Serco viu dados de 10.000 pessoas roubados como parte do ataque cibernético em curso que explora uma vulnerabilidade na popular plataforma de transferência de arquivos MOVEit Transfer. A empresa de terceirização é a última vítima do ataque, que atingiu alguns dos maiores nomes do mundo dos negócios. A divulgação ocorre dias depois de Maximus, empreiteiro do governo dos EUA, ter dito que informações de saúde de até 11 milhões de pessoas podem ter sido roubadas como parte do ataque.

As informações roubadas pelos hackers, considerados a gangue russa de ransomware Cl0p, da Serco incluem nomes, datas de nascimento, endereços residenciais, números de previdência social, endereços de e-mail pessoais e profissionais e algumas informações sobre benefícios de saúde, disse um aviso de divulgação de violação.

A Serco opera em 35 países, incluindo o Reino Unido, empregando mais de 50.000 pessoas. Ele relatou receita de US$ 5,7 bilhões em 2022.

A Serco divulgou a violação esta semana ao Gabinete do Procurador-Geral do Maine, admitindo que os dados de mais de 10.000 pessoas foram roubados através de uma “violação externa do sistema (hacking)”.

A notificação diz que os dados foram obtidos através de um dos fornecedores da Serco, a CBIZ, que presta serviços de RH e contabilidade e utilizou a plataforma MOVEit Transfer para transferência de dados.

Aparentemente, a Serco tomou conhecimento do incidente no dia 30 de junho, mais de um mês depois de sua ocorrência. A notificação de divulgação diz: “Entendemos pela CBIZ que o incidente começou em maio de 2023 e a CBIZ tomou medidas para mitigar o incidente em 5 de junho de 2023. Para ser claro, a violação dos sistemas da CBIZ não afetou a segurança dos sistemas da Serco. ”

A Serco fornece serviços aos Departamentos de Segurança Interna, Estado e Justiça, agências federais dos EUA e ramos das Forças Armadas dos EUA, incluindo a Marinha, o Exército, a Força Aérea e o Corpo de Fuzileiros Navais. Os clientes corporativos da empresa nos EUA também incluem Pfizer, Wells Fargo e Capital One.

Não se sabe a qual dos clientes da Serco pertencem as informações roubadas.

A Serco é o segundo fornecedor do governo dos EUA a ser vítima do Cl0p numa semana, depois da Maxmimus, que administra programas como o Medicard, Medicaid e assistência social ao trabalho, ter admitido que até 11 milhões de registos de pacientes podem ter sido roubados.

Num relatório da SEC apresentado na semana passada, a Maximus confirmou as informações pessoais de um “número significativo” de pessoas através do uso do MOVEit Transfer. A organização usa o software para “compartilhar dados com clientes governamentais relativos a indivíduos que participam de vários programas governamentais”, afirma o documento.

A empresa afirma que os dados roubados contêm informações pessoais, incluindo números de segurança social e informações protegidas de saúde. Começou a informar as pessoas afetadas e espera que o incidente custe US$ 15 milhões para ser investigado e remediado.

A Tech Monitor entrou em contato com a Serco e a Maximus para comentar, mas não obteve resposta de nenhuma delas até o momento em que este artigo foi escrito.

Acredita-se que o Cl0p tenha descoberto a vulnerabilidade do MOVEit Transfer no início deste ano e iniciado seu ataque em maio. O fornecedor de segurança Emsisoft acredita que o ataque já acumulou mais de 500 empresas vítimas e impactou 40 milhões de pessoas. A vulnerabilidade, rastreada como CVE-2023-34362, é uma vulnerabilidade de injeção SQL que tem o potencial de permitir que um invasor não autenticado obtenha acesso aos bancos de dados do MOVEit Transfer.

As suas vítimas mais conhecidas até agora incluem a Shell, a British Airways, a BBC, o Discovery Channel e a Estée Lauder. Na quinta-feira, uma parcela de 38 vítimas foi adicionada ao blog de vítimas da dark web, incluindo capturas de tela publicadas de dados de amostra de todas as vítimas envolvidas.

De acordo com o rastreador online de crimes cibernéticos DarkFeed, o Cl0p foi a gangue de ransomware mais ativa do mundo no mês passado, com 170 ataques, em comparação com 48 do próximo grupo mais movimentado, o LockBit.