Serco subit une fuite de données de vulnérabilité MOVEit Transfer

Jun 17, 2023

Il s’agit du deuxième sous-traitant du gouvernement américain en une semaine à être touché par des pirates informatiques du groupe de ransomwares Cl0p.

Par Claudia Glover

La division américaine de Serco a vu les données de 10 000 personnes volées dans le cadre d'une cyberattaque en cours exploitant une vulnérabilité de la populaire plateforme de transfert de fichiers MOVEit Transfer. La société d'externalisation est la dernière victime de cette attaque, qui a touché certains des plus grands noms du monde des affaires. Cette divulgation intervient quelques jours après que Maximus, un sous-traitant du gouvernement américain, a déclaré que des informations médicales sur jusqu'à 11 millions de personnes pourraient avoir été volées dans le cadre de l'attaque.

Les informations volées à Serco par les pirates informatiques, soupçonnés d'être le groupe de ransomwares russe Cl0p, comprennent les noms, les dates de naissance, les adresses personnelles, les numéros de sécurité sociale, les adresses e-mail personnelles et professionnelles et certaines informations sur les prestations de santé, indique un avis de divulgation de violation.

Serco est présent dans 35 pays, dont le Royaume-Uni, et emploie plus de 50 000 personnes. Il a déclaré un chiffre d'affaires de 5,7 milliards de dollars en 2022.

Serco a révélé cette semaine la violation au bureau du procureur général du Maine, admettant que les données de plus de 10 000 personnes avaient été volées par le biais d'une « violation du système externe (piratage) ».

La notification indique que les données ont été collectées via l'un des fournisseurs de Serco, CBIZ, qui fournit des services RH et comptables et a utilisé la plateforme MOVEit Transfer pour transférer des données.

Il semblerait que Serco ait eu connaissance de l'incident le 30 juin, soit plus d'un mois après qu'il ait eu lieu. La notification de divulgation indique : « Nous comprenons de CBIZ que l'incident a commencé en mai 2023 et CBIZ a pris des mesures pour atténuer l'incident le 5 juin 2023. Pour être clair, la violation des systèmes de CBIZ n'a pas affecté la sûreté et la sécurité des systèmes de Serco. »

Serco fournit des services aux ministères de la Sécurité intérieure, de l'État et de la Justice, aux agences fédérales américaines et aux branches des forces armées américaines, notamment la marine, l'armée, l'armée de l'air et le corps des marines. Les entreprises clientes de la société aux États-Unis comprennent également Pfizer, Wells Fargo et Capital One.

On ne sait pas à quels clients de Serco appartiennent les informations volées.

Serco est le deuxième fournisseur du gouvernement américain à être victime du Cl0p en une semaine, après Maxmimus, qui gère des programmes tels que Medicard, Medicaid et l'aide sociale au travail, a admis que jusqu'à 11 millions de dossiers de patients pourraient avoir été volés.

Dans un rapport de la SEC déposé la semaine dernière, Maximus a confirmé les informations personnelles d'un « nombre important » de personnes grâce à l'utilisation de MOVEit Transfer. L'organisation utilise le logiciel pour « partager des données avec des clients gouvernementaux concernant les personnes qui participent à divers programmes gouvernementaux », indique le dossier.

La société affirme que les données volées contiennent des informations personnelles, notamment des numéros de sécurité sociale et des informations de santé protégées. Il a commencé à informer les personnes concernées et s'attend à ce que l'incident coûte 15 millions de dollars pour enquêter et remédier.

Tech Monitor a contacté Serco et Maximus pour commentaires, mais n'a reçu aucune réponse de leur part au moment de la rédaction de cet article.

Cl0p aurait découvert la vulnérabilité MOVEit Transfer plus tôt cette année et aurait lancé son attaque en mai. Le fournisseur de sécurité Emsisoft estime que l’attaque a déjà fait plus de 500 victimes et touché 40 millions de personnes. La vulnérabilité, suivie comme CVE-2023-34362, est une vulnérabilité d'injection SQL qui a le potentiel de permettre à un attaquant non authentifié d'accéder aux bases de données MOVEit Transfer.

Jusqu'à présent, ses victimes les plus médiatisées sont Shell, British Airways, la BBC, Discovery Channel et Estee Lauder. Jeudi, une tranche de 38 victimes a été ajoutée à son blog de victimes du dark web, comprenant des captures d'écran publiées d'échantillons de données de toutes les victimes impliquées.

Selon le tracker de cybercriminalité en ligne DarkFeed, Cl0p était le gang de ransomwares le plus actif au monde le mois dernier, avec 170 attaques, contre 48 pour le groupe suivant, LockBit.