Los reguladores de valores estadounidenses han abierto una investigación sobre el hackeo masivo de MOVEit que ha expuesto los datos personales de al menos 64 millones de personas, según la empresa que fabricó el software afectado.
En una presentación regulatoria esta semana, Progress Software confirmó que había recibido una citación de la Comisión de Bolsa y Valores de EE. UU. (SEC) en busca de «varios documentos e información» relacionados con la vulnerabilidad MOVEit. «La investigación de la SEC es una investigación de investigación, la investigación no significa que Progress o cualquier otra persona haya violado las leyes federales de valores», dijo Progress, y agregó que tiene la intención de «cooperar plenamente» con la investigación.
Progress también dijo en la presentación que espera ver un impacto financiero mínimo por los ataques masivos a MOVEit, a pesar de la gran escala del incidente.
La compañía dijo que incurrió en 1 millón de dólares en costos relacionados con la vulnerabilidad MOVEit, una vez que tuvo en cuenta los pagos de seguro recibidos y esperados de aproximadamente 1,9 millones de dólares.
Sin embargo, Progress señala que sigue siendo posible una pérdida por este incidente después de que 23 clientes afectados iniciaron acciones legales contra la empresa y «tienen la intención de buscar una indemnización». Progress dijo que otras 58 demandas colectivas han sido presentadas por personas que afirman estar afectadas.
Si bien han pasado casi seis meses desde el descubrimiento de la vulnerabilidad de día cero de MOVEit, el número exacto de clientes de MOVEit Transfer afectados sigue siendo desconocido, aunque la empresa de ciberseguridad Emsisoft informa que hasta ahora se ha confirmado que 2.546 organizaciones están afectadas, lo que afecta a más de 64 millones de personas. .
Siguen apareciendo nuevas víctimas. La semana pasada, Sony confirmó que se accedió a datos de más de 6.000 empleados en un incidente relacionado con MOVEit, y Flagstar Bank dijo que se habían robado más de 800.000 registros de clientes.
Incidente de seguridad de noviembre
Progress Software dijo en la presentación que incurrió en costos adicionales de 4,2 millones de dólares relacionados con un incidente de ciberseguridad separado en noviembre de 2022.
La presentación no revela ningún detalle sobre el incidente, pero John Eddy, un portavoz de Progress que representa a la compañía a través de una agencia externa, confirmó que Progress Software en ese momento descubrió evidencia de acceso no autorizado a la red corporativa de Progress, incluida evidencia de que Se han extraído ciertos datos de la empresa. Progress reveló el incidente en diciembre de 2022.
Progress Software no ha confirmado a qué tipos de datos se accedió ni cuántas personas se vieron afectadas. Eddy le dice a TechCrunch que la compañía permaneció en pleno funcionamiento durante el incidente de 2022, que no estuvo relacionado con ninguna «vulnerabilidad de software reportada recientemente».
La compañía confirmó que los costos relacionados con este incidente «estuvieron relacionados principalmente con la participación de expertos externos en ciberseguridad y otros profesionales de respuesta a incidentes» y señaló que recibió aproximadamente $3 millones en pagos de seguros.
Actualizado para modificar el tiempo en el octavo párrafo.