Pelanggaran data MOVEit mengakibatkan “setidaknya” 64 juta orang data pribadinya terekspos oleh kegagalan perusahaan yang mungkin belum pernah mereka dengar sebelumnya.
Pelanggaran tersebut memengaruhi organisasi pelanggan mulai dari Sony hingga Kantor Kendaraan Bermotor Louisiana, dan SEC sekarang sedang menyelidiki…
pelanggaran data MOVEit
Ironisnya, MOVEit menawarkan perangkat lunak untuk membantu perusahaan dan lembaga pemerintah mentransfer file sesuai dengan “kepatuhan keamanan siber yang ketat standar seperti PCI-DSS, HIPAA, GDPR, SOC2, dan lainnya” dan mengklaim “menyediakan lingkungan yang aman untuk file Anda yang paling sensitif.”
Namun kerentanan zero-day dalam perangkat lunaknya dieksploitasi oleh geng ransomware berskala besar, seperti yang dijelaskan dalam laporan Malwarebytes pada bulan Agustus.
Dampak penuh dari pelanggaran ini mungkin masih belum diketahui sepenuhnya, namun sebuah laporan yang dikutip oleh Engadget mengatakan bahwa data pribadi setidaknya 64 juta orang telah disusupi, melalui lebih dari 2.500 organisasi berbeda.
Merupakan persyaratan hukum bagi perusahaan publik yang terkena dampak pelanggaran data untuk menyatakan fakta tersebut, karena harga saham mereka mungkin terpengaruh, dan hal ini dapat menimbulkan risiko keuangan seperti tuntutan hukum. Komisi Sekuritas & Bursa (SEC) meningkatkan persyaratan pelaporan ini pada bulan Juli. Aturan baru ini memberi perusahaan waktu empat hari untuk mengungkapkan pelanggaran tersebut.
Progress Software telah mengungkapkan bahwa mereka menghadapi 58 tuntutan hukum class action.
SEC sekarang menyelidiki
Laporan hari ini mengatakan bahwa SEC sekarang sedang menyelidiki peretasan tersebut.
Progress Software mengungkapkan bahwa mereka telah menerima panggilan pengadilan dari SEC untuk berbagi informasi terkait kerentanan dalam perangkat lunak transfer file, MOVEit, yang menjadi subjek eksploitasi besar-besaran mulai Mei lalu.
Menurut pengajuan tersebut, penyelidikan saat ini merupakan “penyelidikan pencarian fakta,” dan saat ini tidak ada indikasi bahwa Progress telah “melanggar undang-undang sekuritas federal.” Perusahaan bermaksud untuk bekerja sama dengan SEC.
Taktik pemerasan ganda oleh ransomware gangs
Salah satu alasan banyaknya data yang terungkap adalah karena geng ransomware tahun ini mulai menggunakan teknik pemerasan ganda.
Sebelumnya, geng akan mengenkripsi data milik organisasi, sehingga mereka tidak dapat mengaksesnya. Mereka kemudian akan meminta uang tebusan sebagai imbalan atas kunci dekripsi.
Namun, organisasi dengan rezim cadangan yang solid akan dapat memutar kembali sistem mereka untuk mendapatkan kembali akses. Geng Ransomware CL0P menanggapinya dengan mengatakan bahwa jika organisasi tersebut tidak membayar, maka data yang dicuri juga akan dipublikasikan.
Itulah konten tentang Pelanggaran data MOVEit mengungkap data pribadi 64 juta orang; penyelidikan SEC, semoga bermanfaat.