Serco sufre filtración de datos de vulnerabilidad de MOVEit Transfer

Jun 17, 2023

Es el segundo contratista del gobierno de EE. UU. en una semana que es atacado por piratas informáticos de la banda de ransomware Cl0p.

Por Claudia Glover

La división estadounidense de Serco ha sido testigo del robo de datos de 10.000 personas como parte del ciberataque en curso que explota una vulnerabilidad en la popular plataforma de transferencia de archivos MOVEit Transfer. La empresa de subcontratación es la última víctima del ataque, que ha afectado a algunos de los nombres más importantes del sector. La divulgación se produce días después de que el contratista del gobierno estadounidense Maximus dijera que es posible que se haya robado información sanitaria de hasta 11 millones de personas como parte del ataque.

La información robada de Serco por los piratas informáticos, que se cree que son la banda rusa de ransomware Cl0p, incluye nombres, fechas de nacimiento, domicilios, números de seguridad social, direcciones de correo electrónico personales y profesionales y cierta información sobre beneficios de salud, según un aviso de divulgación de incumplimiento.

Serco opera en 35 países, incluido el Reino Unido, y emplea a más de 50.000 personas. Reportó ingresos de 5.700 millones de dólares en 2022.

Serco reveló la violación esta semana a la Oficina del Fiscal General de Maine, admitiendo que los datos de más de 10.000 personas habían sido robados a través de una "violación (piratería) externa del sistema".

La notificación dice que los datos fueron tomados a través de uno de los proveedores de Serco, CBIZ, que brinda servicios de contabilidad y recursos humanos y utilizó la plataforma de MOVEit Transfer para transferir datos.

Al parecer, Serco tuvo conocimiento del incidente el 30 de junio, más de un mes después de que se produjera. La notificación de divulgación dice: “Entendemos por CBIZ que el incidente comenzó en mayo de 2023 y CBIZ tomó medidas para mitigarlo el 5 de junio de 2023. Para ser claros, la violación de los sistemas de CBIZ no afectó la seguridad de los sistemas de Serco. "

Serco brinda servicios a los Departamentos de Seguridad Nacional, Estado y Justicia, agencias federales de EE. UU. y ramas de las Fuerzas Armadas de EE. UU., incluidas la Armada, el Ejército, la Fuerza Aérea y la Infantería de Marina. Entre los clientes corporativos de la empresa en EE.UU. también se encuentran Pfizer, Wells Fargo y Capital One.

Se desconoce a cuál de los clientes de Serco pertenece la información robada.

Serco es el segundo proveedor del gobierno estadounidense que es víctima de Cl0p en una semana, después de que Maxmimus, que administra programas como Medicard, Medicaid y Welfare-to-work, admitiera que se pueden haber robado hasta 11 millones de registros de pacientes.

En un informe de la SEC presentado la semana pasada, Maximus confirmó la información personal de un "número significativo" de personas mediante el uso de MOVEit Transfer. La organización utiliza el software para "compartir datos con clientes gubernamentales relacionados con personas que participan en diversos programas gubernamentales", afirma el documento.

La compañía dice que los datos robados contienen información personal, incluidos números de seguridad social e información médica protegida. Ha comenzado a informar a los afectados y espera que investigar y remediar el incidente cueste 15 millones de dólares.

Tech Monitor se ha puesto en contacto con Serco y Maximus para hacer comentarios, pero no ha recibido respuesta de ninguno de ellos al momento de escribir este artículo.

Se cree que Cl0p descubrió la vulnerabilidad MOVEit Transfer a principios de este año y comenzó su ataque en mayo. El proveedor de seguridad Emsisoft cree que el ataque ya ha acumulado más de 500 empresas víctimas y ha afectado a 40 millones de personas. La vulnerabilidad, rastreada como CVE-2023-34362, es una vulnerabilidad de inyección SQL que tiene el potencial de permitir que un atacante no autenticado obtenga acceso a las bases de datos de MOVEit Transfer.

Entre sus víctimas más destacadas hasta ahora se encuentran Shell, British Airways, la BBC, Discovery Channel y Estée Lauder. El jueves se agregó un grupo de 38 víctimas a su blog de víctimas de la web oscura, incluidas capturas de pantalla publicadas de datos de muestra de todas las víctimas involucradas.

Según el rastreador de delitos cibernéticos en línea DarkFeed, Cl0p fue la banda de ransomware más activa del mundo el mes pasado, con 170 ataques, en comparación con 48 del siguiente grupo más activo, LockBit.