British Airways et BBC frappent dans l'offre MOVEit

British Airways, la BBC et la chaîne de pharmacies britannique Boots font partie des entreprises dont les données ont été compromises après que des malfaiteurs ont exploité une vulnérabilité critique dans les déploiements de l'application de transfert de documents MOVEit.

Microsoft estime que l'équipe russe du rançongiciel Clop a volé les informations.

British Airways, la BBC et Boots n'ont pas été directement touchées. Au lieu de cela, le fournisseur de services de paie Zellis a admis lundi que son installation MOVEit avait été exploitée et qu'en conséquence "un petit nombre de nos clients" - y compris le trio britannique susmentionné - se sont fait voler leurs informations.

Zellis prétend être le plus grand fournisseur de services de paie et de ressources humaines au Royaume-Uni, et ses clients incluent Sky, Harrods, Jaguar, Land Rover, Dyson et Credit Suisse. Dans une déclaration publiée sur son site Web, Zellis a blâmé la vulnérabilité MOVEit pour la faille de sécurité et a noté que "tous les logiciels appartenant à Zellis ne sont pas affectés et qu'il n'y a aucun incident ou compromis associé à aucune autre partie de notre parc informatique".

La société n'a pas répondu aux questions spécifiques de The Register, y compris combien et quels clients ont été touchés, et quelles données ont été consultées. Les spinners du biz ont plutôt répété la déclaration publiée sur le site Web.

La faille de sécurité a été découverte jeudi dernier. Et presque immédiatement, les chercheurs en sécurité ont commencé à avertir que les criminels avaient "exploité en masse" la vulnérabilité d'injection SQL dans MOVEit pendant au moins un mois pour pénétrer dans les environnements informatiques et voler des données.

Le bogue a depuis reçu une CVE et est maintenant suivi comme CVE-2023-34362. Le développeur de l'application, Progress, a corrigé la faille vendredi. Un porte-parole a refusé de répondre aux questions spécifiques de The Register, mais a fourni cette déclaration par e-mail :

Progress prend la sécurité de ses clients très au sérieux. Nous ne pouvons pas divulguer d'informations sur nos clients MOVEit Transfer et MOVEit Cloud. Cependant, nous pouvons confirmer que nous avons pris des mesures immédiates pour protéger les environnements des clients - d'abord, en fournissant des instructions pour une atténuation immédiate, suivies de la publication d'un correctif à tous les clients de MOVEit Transfer, dans les 48 heures suivant l'identification de la vulnérabilité.

Dimanche, Microsoft a attribué les vols à un gang de rançongiciels qu'il suit sous le nom de Lace Tempest, qui gère le site d'extorsion Clop. "L'acteur de la menace a utilisé des vulnérabilités similaires dans le passé pour voler des données et extorquer des victimes", a déclaré Redmond dans le premier d'une série de tweets.

British Airways, qui compte environ 35 000 employés, a confirmé qu'elle était l'une des victimes de ce qui ressemble maintenant à une autre attaque majeure de la chaîne d'approvisionnement.

"Nous avons été informés que nous sommes l'une des entreprises touchées par l'incident de cybersécurité de Zellis qui s'est produit via l'un de leurs fournisseurs tiers appelé MOVEit", a déclaré un porte-parole de British Airways à The Register. "Nous avons informé les collègues dont les informations personnelles ont été compromises de fournir un soutien et des conseils."

British Airways et Zellis ont déclaré avoir signalé l'intrusion au Bureau du commissaire à l'information du Royaume-Uni (ICO), et Zellis a informé l'homologue irlandais du chien de garde de la vie privée ainsi que la cyber-police britannique.

Un autre client de Zellis, la BBC, a signalé le vol des informations personnelles de son personnel et que les autres utilisateurs de la paie de Zellis, Boots et Aer Lingus, font partie des personnes touchées par le piratage.

La BBC a déclaré que les données volées comprenaient les numéros d'identification du personnel, les dates de naissance, les adresses personnelles et les numéros d'assurance nationale. Ces dernières informations sont particulièrement précieuses pour les voleurs d'identité.

Boots n'a pas immédiatement répondu aux demandes de renseignements de The Register. La société britannique a fusionné avec le géant américain de la pharmacie de détail Walgreens en 2006, formant la Walgreen Boots Alliance, et il n'est pas clair si des informations sur les travailleurs de Walgreens ont été volées dans cette affaire. ®

Envoyez-nous des nouvelles