Amerikaanse effectentoezichthouders hebben een onderzoek geopend naar de massale hack MOVEit die de persoonlijke gegevens van minstens 64 miljoen mensen heeft blootgelegd, aldus het bedrijf dat de getroffen software heeft gemaakt.
In een wettelijke indiening deze week Progress Software bevestigde dat het een dagvaarding had ontvangen van de Amerikaanse Securities and Exchange Commission (SEC) met het verzoek om verschillende documenten en informatie met betrekking tot de MOVEit-kwetsbaarheid. Het SEC-onderzoek is een feitenonderzoek. Het onderzoek betekent niet dat Progress of iemand anders de federale effectenwetten heeft overtreden, zei Progress, eraan toevoegend dat het van plan is volledig mee te werken aan het onderzoek.
Progress zei in de indiening ook dat het minimale financiële gevolgen verwacht van de MOVEit massa-hacks , ondanks de brede omvang van het incident.
Het bedrijf zei dat het $1 miljoen aan kosten had gemaakt in verband met de MOVEit-kwetsbaarheid, nadat het rekening had gehouden met ontvangen en verwachte verzekeringsuitkeringen van ongeveer $1,9 miljoen.
Progress merkt echter op dat verlies als gevolg van dit incident mogelijk blijft nadat 23 getroffen klanten juridische stappen tegen het bedrijf hebben ondernomen en van plan zijn schadevergoeding te eisen. Progress zei dat nog eens 58 class action-rechtszaken zijn aangespannen door personen die beweren getroffen te zijn.
Hoewel het bijna zes maanden na de ontdekking van de MOVEit zero-day-kwetsbaarheid is, blijft het exacte aantal getroffen MOVEit Transfer-klanten onbekend. cyberbeveiligingsbedrijf Emsisoft meldt dat tot nu toe 2.546 organisaties hebben bevestigd dat ze getroffen zijn, met gevolgen voor meer dan 64 miljoen individuen.
Er blijven zich nieuwe slachtoffers melden. Vorige week bevestigde Sony dat meer dan 6.000 werknemers toegang hadden tot de gegevens bij een MOVEit-gerelateerd incident, en Flagstar Bank zei dat meer dan 800.000 klantgegevens waren gestolen.
Veiligheidsincident van november
Progress Software zei in de indiening dat het 4,2 miljoen dollar extra kosten had gemaakt in verband met een afzonderlijk cyberbeveiligingsincident in november 2022.
De indiening onthult geen details over het incident, maar John Eddy, een woordvoerder van Progress die het bedrijf vertegenwoordigt via een extern bureau, bevestigde dat Progress Software destijds bewijs heeft gevonden van ongeautoriseerde toegang tot het bedrijfsnetwerk van Progress, inclusief bewijs dat bepaalde bedrijfsgegevens zijn geëxfiltreerd. Voortgang maakte het voorval bekend december 2022.
Progress Software heeft niet bevestigd welke soorten gegevens zijn benaderd of hoeveel personen zijn getroffen. Eddy vertelt Gadget Insider dat het bedrijf tijdens het incident in 2022 volledig operationeel bleef en geen verband hield met recent gerapporteerde softwarekwetsbaarheden.
Het bedrijf bevestigde dat de kosten in verband met dit incident voornamelijk verband hielden met de inzet van externe cyberbeveiligingsexperts en andere incidentresponsprofessionals en merkte op dat het ongeveer $ 3 miljoen aan verzekeringsuitkeringen ontving.
Bijgewerkt om de tijd in de achtste alinea te wijzigen.