Erhalten Sie kostenlose Updates zur Cybersicherheit
Wir senden Ihnen eine myFT Daily Digest E-Mail mit den neuesten Informationen Internet-Sicherheit Neuigkeiten jeden Morgen.
Calpers, der größte staatliche Pensionsfonds in den USA, ist die jüngste Organisation, die vom MOVEit-Cyberangriff betroffen ist. Etwa 770.000 seiner Mitglieder sind von der globalen Datenpanne betroffen.
In einer auf seiner Website veröffentlichten Erklärung machte der 442 Milliarden US-Dollar schwere Pensionsfonds seine pensionierten Mitglieder und deren Familien darauf aufmerksam, dass einige ihrer persönlichen Daten, darunter Geburtsdaten und Sozialversicherungsnummern, bei einem Vorfall heruntergeladen wurden, der den beauftragten Drittanbieter PBI Research betraf Dienstleistungen/Berwyn Group. Der Vorfall betraf den Dateiübertragungsdienst MOVEit.
„Am 6. Juni 2023 teilte PBI Calpers mit, dass eine bisher unbekannte ‚Zero-Day‘-Schwachstelle in ihrer MOVEit-Übertragungsanwendung das Herunterladen unserer Daten durch einen unbefugten Dritten ermöglichte“, sagte Calpers in der Erklärung. Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, die vom Softwareanbieter noch nicht identifiziert oder behoben wurde.
Der in Kalifornien ansässige Fonds schätzt, dass der Sicherheitsvorfall die persönlichen Daten von etwa 769.000 Mitgliedern beeinträchtigt hat.
„Dieser externe Informationsverstoß ist unentschuldbar“, sagte Marcie Frost, Geschäftsführerin von Calpers.
„Unsere Mitglieder verdienen etwas Besseres. Sobald wir von dem Vorfall erfuhren, haben wir schnell Maßnahmen ergriffen, um die finanziellen Interessen unserer Mitglieder zu schützen, und Maßnahmen ergriffen, um einen langfristigen Schutz zu gewährleisten.“
PBI hat die Angelegenheit den Strafverfolgungsbehörden des Bundes gemeldet und Calpers mitgeteilt, dass es die Sicherheitslücke behoben und gleichzeitig zusätzliche Sicherheitsmaßnahmen ergriffen hat.
Anfang des Monats wurden die persönlichen Daten Zehntausender Mitarbeiter einiger der größten britischen Unternehmen von einer russischsprachigen kriminellen Bande hinter dem MOVEit-Hack kompromittiert. Damals sagten Experten, sie erwarteten, dass sich der Hack auf die USA ausbreiten und weitere Opfer in die Falle locken würde.
Frühere Forderungen der mutmaßlichen russischen Bande, die von Cybersicherheitsexperten „Clop“ genannt wird, beliefen sich regelmäßig auf mehr als eine Million US-Dollar und sogar auf bis zu 35 Millionen US-Dollar.
Es ist bekannt, dass die Hackergruppe Clop nach Schwachstellen in sicherer Dateiübertragungssoftware sucht, da Unternehmen oft gesetzlich verpflichtet sind, einige ihrer wertvollsten Daten mit solchen Anbietern zu verwalten.
Der Hersteller von MOVEit informierte seine Kunden am 31. Mai darüber, dass seine Software eine unbekannte Schwachstelle aufwies, die es Hackern ermöglichte, große Datenmengen zu stehlen.