Nach Angaben des Unternehmens, das die betroffene Software hergestellt hat, haben die US-amerikanischen Wertpapieraufsichtsbehörden eine Untersuchung des MOVEit-Massenhacks eingeleitet, bei dem die persönlichen Daten von mindestens 64 Millionen Menschen offengelegt wurden.
In diese Woche einen ZulassungsantragProgress Software bestätigte, dass es eine Vorladung der US-Börsenaufsicht SEC (Securities and Exchange Commission) erhalten hatte, in der „verschiedene Dokumente und Informationen“ im Zusammenhang mit der MOVEit-Schwachstelle angefordert wurden. „Bei der SEC-Untersuchung handelt es sich um eine Sachverhaltsermittlung. Die Untersuchung bedeutet nicht, dass Progress oder jemand anderes gegen bundesstaatliche Wertpapiergesetze verstoßen hat“, sagte Progress und fügte hinzu, dass man beabsichtige, bei der Untersuchung „vollständig zu kooperieren“.
Progress sagte in der Einreichung auch, dass es trotz des großen Ausmaßes des Vorfalls nur minimale finanzielle Auswirkungen der MOVEit-Massenhacks erwarte.
Das Unternehmen gab an, dass ihm im Zusammenhang mit der MOVEit-Schwachstelle Kosten in Höhe von 1 Million US-Dollar entstanden seien, nachdem es erhaltene und erwartete Versicherungszahlungen in Höhe von etwa 1,9 Millionen US-Dollar berücksichtigt habe.
Progress weist jedoch darauf hin, dass ein Verlust aus diesem Vorfall weiterhin möglich ist, nachdem 23 betroffene Kunden rechtliche Schritte gegen das Unternehmen eingeleitet haben und „Schadensersatz fordern wollen“. Laut Progress wurden weitere 58 Sammelklagen von Einzelpersonen eingereicht, die behaupten, betroffen zu sein.
Obwohl seit der Entdeckung der MOVEit-Zero-Day-Schwachstelle fast sechs Monate vergangen sind, ist die genaue Anzahl der betroffenen MOVEit Transfer-Kunden noch unbekannt Cybersicherheitsunternehmen Emsisoft Berichten zufolge haben bisher 2.546 Organisationen bestätigt, dass sie betroffen sind, wovon mehr als 64 Millionen Menschen betroffen sind.
Es melden sich immer wieder neue Opfer. Letzte Woche bestätigte Sony, dass bei einem Vorfall im Zusammenhang mit MOVEit auf Daten von mehr als 6.000 Mitarbeitern zugegriffen wurde, und die Flagstar Bank gab an, dass mehr als 800.000 Kundendaten gestohlen worden seien.
Sicherheitsvorfall im November
Progress Software sagte in der Einreichung, dass es im November 2022 mit zusätzlichen Kosten in Höhe von 4,2 Millionen US-Dollar im Zusammenhang mit einem separaten Cybersicherheitsvorfall rechnet.
In der Akte werden keine Details zu dem Vorfall preisgegeben, aber John Eddy, ein Progress-Sprecher, der das Unternehmen über eine Drittagentur vertritt, bestätigte, dass Progress Software zu diesem Zeitpunkt Beweise für unbefugten Zugriff auf das Unternehmensnetzwerk von Progress aufgedeckt hat, darunter auch Beweise dafür Bestimmte Unternehmensdaten wurden exfiltriert. Fortschritt den Vorfall offengelegt im Dezember 2022.
Progress Software hat nicht bestätigt, auf welche Datentypen zugegriffen wurde oder wie viele Personen betroffen waren. Eddy teilt Tech mit, dass das Unternehmen während des Vorfalls im Jahr 2022 voll funktionsfähig geblieben sei, der nicht mit „kürzlich gemeldeten Software-Schwachstellen“ in Zusammenhang stand.
Das Unternehmen bestätigte, dass die Kosten im Zusammenhang mit diesem Vorfall „in erster Linie mit der Beauftragung externer Cybersicherheitsexperten und anderer Fachleute für die Reaktion auf Vorfälle zusammenhingen“ und wies darauf hin, dass es etwa 3 Millionen US-Dollar an Versicherungszahlungen erhalten habe.