Компания Sony уведомила нынешних и бывших сотрудников (а также членов их семей) о кибератаке, в результате которой была раскрыта их личная информация. Также в компании подтвердили, что утечка произошла в результате атаки на 0-day уязвимость в MOVEit Transfer.
Напомним, что минувшим летом платформа для обмена файлами MOVEit Transfer компании Progress Software использовалась в массовых атаках, последствия которых суммарно затронули более 2100 организаций и 62 млн человек.
Тогда хакеры эксплуатировали критическую уязвимость CVE-2023-34362, которую эксперты обнаружили в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и атаки на них начались еще 27 мая 2023 года, то есть хакеры обнаружили уязвимость даже раньше исследователей.
В основном за этими атаками стояла вымогательская хак-группа Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950), скомпрометировавшая множество организаций по всему миру.
Еще в конце июня текущего года Clop добавила в список своих жертв Sony Group, однако компания не делала никаких публичных заявлений на этот счет вплоть до текущей недели.
Как теперь пишут представители Sony, взлом произошел еще 28 мая 2023 года. За три дня до того, как Sony узнала от разработчиков Progress Software о существовании уязвимости.
«2 июня 2023 года [мы] обнаружили несанкционированные загрузки, немедленно отключили платформу и устранили уязвимость, — сообщает Sony. — Затем было начато расследование при содействии внешних экспертов по кибербезопасности. Также мы уведомили об инциденте правоохранительные органы».
Sony подчеркивает, что инцидент ограничился конкретной платформой и не повлиял на другие системы компании. Однако утечка данных все равно затронула данные 6791 человек. Теперь всем пострадавшим будут предоставлены бесплатные услуги кредитного мониторинга и восстановления личности через Equifax.
Издание Bleeping Computer напоминает, что на прошлой неделе стало известно о том, что недавно Sony подверглась еще одному взлому. В конце сентября группировка RansomedVC (она же Ransomed[.]vc) заявила, что скомпрометировала все системы компании и выставила похищенные 3,14 ГБ данных на продажу. Дамп содержал подробную информацию о платформе SonarQube, сертификатах, Creators Cloud, политиках реагирования на инциденты, эмуляторе устройств для генерации лицензий и многом другом.
Теперь представители Sony косвенно подтвердили журналистам, что эта атака действительно имела место.
«Компания Sony расследует недавние публичные заявления о нарушении систем безопасности. Мы работаем со сторонними киберкриминалистами и обнаружили активность на одном сервере, расположенном в Японии, который используется для внутреннего тестирования подразделением развлечений, технологий и услуг (ET&S).
На время проведения расследования Sony отключила этот сервер от сети. В настоящее время нет никаких признаков того, что данные клиентов или бизнес-партнеров хранились на пострадавшем сервере, или признаков того, что были затронуты какие-либо другие системы Sony. Инцидент не оказал негативного влияния на деятельность компании», — сообщают представители Sony.
Таким образом, компания Sony подверглась уже двум кибератакам за последние четыре месяца.