Der US-Regierungsdienstleister Maximus hat bestätigt, dass Hacker eine Schwachstelle in MOVEit Transfer verwendeten, um auf die geschützten Gesundheitsdaten von bis zu 11 Millionen Personen zuzugreifen.
Das in Virginia ansässige Unternehmen Maximus arbeitet mit Bundes-, Landes- und Kommunalbehörden zusammen, um staatlich geförderte Programme wie Medicaid, Medicare, Gesundheitsreform und Sozialhilfe zu verwalten. In einem veröffentlichten Bericht bestätigte Maximus, dass Hacker unter Ausnutzung einer Zero-Day-Schwachstelle in MOVEit Transfer auf die persönlichen Daten einer “erheblichen Anzahl” von Personen zugegriffen haben.
Obwohl Maximus noch nicht in der Lage war, die genaue Anzahl der betroffenen Personen zu bestätigen, geht das Unternehmen davon aus, dass die Hacker auf die persönlichen Daten, einschließlich Sozialversicherungsnummern und geschützte Gesundheitsinformationen, von mindestens 8 bis 11 Millionen Personen eingesehen haben.
Das Unternehmen teilte mit, dass die Untersuchung und Behebung des Sicherheitsvorfalls etwa 15 Millionen US-Dollar kosten wird. Die Datenerpressergruppe Clop, die für die MOVEit-Massenhacks verantwortlich ist, behauptet, 169 Gigabyte an Daten von Maximus gestohlen zu haben.
Was ist die MOVEit -Sicherheitslücke?
Kriminelle haben eine Schwachstelle in der Dateiübertragungs-App MOVEit von Progress Software ausgenutzt, die von Tausenden von Unternehmen auf der ganzen Welt verwendet wird. Die Zahl der von der MOVEit-Attacken betroffenen Einrichtungen beläuft sich Berichten zufolge auf über 340 Organisationen und 18 Millionen Einzelpersonen. Brett Callow, ein Bedrohungsanalyst bei der Cybersecurity-Firma Emsisoft, der die Kampagne beobachtet hat, sagte kürzlich, dass ihm 347 betroffene Organisationen bekannt sind, darunter allein 58 Bildungseinrichtungen in den Vereinigten Staaten.