British Airways e BBC colpiscono nella fornitura di MOVEit

British Airways, BBC e la catena di farmacie britannica Boots sono tra le aziende i cui dati sono stati compromessi dopo che i malintenzionati hanno sfruttato una vulnerabilità critica nelle implementazioni dell'app di trasferimento di documenti MOVEit.

Microsoft ritiene che l'equipaggio russo del ransomware Clop abbia rubato le informazioni.

British Airways, BBC e Boots non furono colpiti direttamente. Lunedì, invece, il fornitore di servizi di buste paga Zellis ha ammesso che la sua installazione MOVEit era stata sfruttata e, di conseguenza, "un piccolo numero di nostri clienti" - incluso il suddetto trio britannico - si è visto rubare le informazioni.

Zellis afferma di essere il più grande fornitore di buste paga e risorse umane nel Regno Unito e tra i suoi clienti figurano Sky, Harrods, Jaguar, Land Rover, Dyson e Credit Suisse. In una dichiarazione pubblicata sul suo sito web, Zellis ha attribuito la vulnerabilità MOVEit alla violazione della sicurezza e ha osservato che "tutto il software di proprietà di Zellis non è interessato e non ci sono incidenti o compromessi associati a qualsiasi altra parte del nostro patrimonio IT".

La società non ha risposto alle domande specifiche di The Register, inclusi quanti e quali clienti sono stati interessati e a quali dati è stato effettuato l'accesso. I filoni del business hanno invece ripetuto il comunicato pubblicato sul sito.

La falla di sicurezza è venuta alla luce giovedì scorso. E quasi immediatamente i ricercatori sulla sicurezza hanno iniziato ad avvertire che i criminali avevano "sfruttato in massa" la vulnerabilità dell'iniezione SQL in MOVEit per almeno un mese per irrompere negli ambienti IT e rubare dati.

Da allora al bug è stato assegnato un CVE ed è ora tracciato come CVE-2023-34362. Lo sviluppatore dell'app Progress ha risolto il problema venerdì. Un portavoce ha rifiutato di rispondere alle domande specifiche di The Register, ma ha fornito questa dichiarazione via e-mail:

Progress prende molto sul serio la sicurezza dei nostri clienti. Non possiamo divulgare informazioni sui nostri clienti MOVEit Transfer e MOVEit Cloud. Tuttavia, possiamo confermare di aver adottato misure immediate per proteggere gli ambienti dei clienti, in primo luogo fornendo istruzioni per la mitigazione immediata, seguite dal rilascio di una patch a tutti i clienti MOVEit Transfer, entro 48 ore dall'identificazione della vulnerabilità.

Domenica, Microsoft ha attribuito i furti a una banda di ransomware identificata come Lace Tempest, che gestisce il sito di estorsione Clop. "L'autore della minaccia ha utilizzato vulnerabilità simili in passato per rubare dati ed estorcere vittime", ha affermato Redmond nel primo di una serie di tweet.

British Airways, che conta circa 35.000 dipendenti, ha confermato di essere stata una delle vittime di quello che ora sembra l’ennesimo grande attacco alla catena di approvvigionamento.

"Siamo stati informati che siamo una delle società colpite dall'incidente di sicurezza informatica di Zellis avvenuto tramite uno dei loro fornitori terzi chiamato MOVEit", ha detto a The Register un portavoce di British Airways. "Abbiamo avvisato i colleghi le cui informazioni personali sono state compromesse per fornire supporto e consulenza."

Sia British Airways che Zellis hanno dichiarato di aver segnalato l'intrusione all'ICO (Information Commissioner's Office) del Regno Unito, e Zellis ha informato la controparte irlandese del garante della privacy, nonché la polizia informatica britannica.

Un altro cliente Zellis, la BBC, ha riferito del furto delle informazioni personali del suo personale e che gli altri utenti del libro paga Zellis Boots e Aer Lingus sono tra quelli colpiti dall'hacking.

La BBC ha affermato che i dati rubati includevano numeri identificativi del personale, date di nascita, indirizzi di casa e numeri di previdenza sociale. Quest'ultima informazione è particolarmente preziosa per i ladri di identità.

Boots non ha risposto immediatamente alle richieste di The Register. L'azienda britannica si è fusa con il colosso statunitense delle farmacie al dettaglio Walgreens nel 2006, formando la Walgreen Boots Alliance, e non è chiaro se in questo caso siano state rubate informazioni sui lavoratori di Walgreens. ®

Mandaci notizie