PBI Research Services (PBI) はデータ侵害に遭い、クライアント 3 社が最近の MOVEit Transfer データ盗難攻撃で 475 万人分のデータが盗まれたことを明らかにしました。
これらの攻撃は、2023 年 5 月 27 日に始まり、Clop ランサムウェア ギャングがMOVEit Transfer のゼロデイ脆弱性を悪用し始め、数百の企業からデータを盗んだとされています。
先週、 Clop ギャングは、被害者に身代金要求を支払うよう圧力をかけようとして、影響を受けた組織をデータ漏洩サイトにゆっくりとリストアップすることで、企業への恐喝を開始しました。
PBI クライアントからの 3 つの異なる開示情報によると、何百万もの顧客がこれらの攻撃で機密データをさらされました。ただし、他の企業がさらなる開示を行うにつれて、この数は増加する可能性があります。
最初に影響を受けるのは、バージニア州に本拠を置く生命保険サービスプロバイダーであるジェンワース・ファイナンシャルです。
ジェンワース氏は、ウェブサイトで公開されたMOVEit セキュリティ イベントの通知の中で、PBI が 2023 年 5 月 29 日にセキュリティ侵害について通知し、6 月 16 日に顧客の個人データが盗まれたことを確認したと述べています。
同社は、データ侵害により、顧客(保険、年金、長期介護)または保険代理店として働く 250 万人から 270 万人の個人に影響が及んだと推定しています。
公開されたデータには次のものが含まれます。
- フルネーム
- 生年月日
- 社会保障番号
- 郵便番号
- 居住国
- 規約の番号
- エージェントID(エージェント用)
ジェンワース社は、MOVEit または GoAnywhere 製品を使用していないため、この攻撃は自社のシステムやネットワークに影響を与えず、また事業運営にも影響を与えなかったと述べています。
影響を受ける個人には、今後数週間以内にデータ侵害の通知が届きます。その通知には、無料の信用監視および個人情報盗難防止サービスに登録するための手順が含まれます。
PBI 侵害の影響を受けた 2 番目の企業は、ニューヨークに本拠を置く保険会社ウィルトン・リアシュアランスで、同社の顧客のうち 1,482,490 人がデータを盗まれたと報告しています。
メイン州司法長官事務所に報告されたとおり、流出した情報には顧客の名前と社会保障番号が含まれています。
データ侵害通知レターのサンプルはまだメイン州のポータルにアップロードされていませんが、Wilton Reassurance は影響を受けた個人に Kroll を通じて 12 か月間無料の個人情報盗難保護と信用監視サービスを提供すると発表しました。
PBIのデータ漏えいの影響を受けた3番目の企業は、米国最大の公的年金基金であるCalPERS(カリフォルニア公務員退職金制度)で、現在退職者と受給者にこの出来事について通知している。
CalPERS はウェブサイトへの通知の中で、情報漏洩を知った直後に状況に対応し、請負業者との連携に関するデータ管理プロトコルを強化することで会員の利益とデータを保護するための措置を講じたと述べている。
同機関によると、会員のうち約76万9,000人がセキュリティインシデントの影響を受けており、会員全員にExperianを通じた2年間の無料信用監視サービスへのアクセス方法の詳細が記載された通知書が届く予定だという。
これを書いている時点では、PBI Research Services は Clop のデータ漏洩サイトに掲載されていません。これは、同社がデータを公開しないよう脅威アクターと交渉していることを意味する可能性がありますが、Clop がまだ組織への恐喝を開始していないことを意味する可能性もあります。
は状況についてコメントするために PBI に連絡しましたが、公表までに返答はありません。
Comments