O Estado do Maine anunciou que seus sistemas foram violados após atores maliciosos explorarem uma vulnerabilidade na ferramenta de transferência de arquivo MOVEit e acessarem informações pessoais de cerca de 1,3 milhão de pessoas, o que é quase a população inteira do estado.
Os ataques ao MOVEit foram parte de uma enorme campanha de roubo de dados do grupo de ransomware Clop, que, em 27 de maio, começou a explorar uma vulnerabilidade zero-day no software.
Várias agências estaduais do Maine estavam entre as milhares de organizações mundialmente que usam o produto de transferência de dados da Progress Software.
"Em 31 de maio de 2023, o estado do Maine se tornou ciente de uma vulnerabilidade de software no MOVEit, uma ferramenta de transferência de arquivos de terceiros de propriedade da Progress Software e usada por milhares de entidades em todo o mundo para enviar e receber dados", diz o comunicado à imprensa.
As informações expostas pertencendo a 1,3 milhão de pessoas, incluindo menores, dizem respeito aos seguintes tipos de dados:
Nome completo
Número do Seguro Social (SSN)
Data de nascimento
Carteira de motorista
Número de identificação estadual
Número de identificação de contribuinte
Informações de seguro de saúde
Os exatos tipos de dados expostos para cada indivíduo variam dependendo de suas interações com as agências estaduais do Maine.
A agência mais impactada foi o Departamento de Saúde e Serviços Humanos do Maine, seguido pelo Departamento de Educação do Maine.
Outros departamentos afetados pela violação do MOVEit, embora em menor grau, são os serviços administrativos e financeiros, compensação dos trabalhadores, escritório de veículos motorizados, correções, desenvolvimento econômico e comunitário, regulamentação profissional e financeira e trabalho.
O estado do Maine explica que a demora em notificar o público sobre a exposição de dados sensíveis foi devido à condução de uma investigação minuciosa.
Todos os cidadãos afetados cujos SSNs ou informações fiscais foram expostos receberão notificações com instruções para a opção de serviços gratuitos de monitoramento de crédito e proteção contra roubo de identidade por dois anos.
Os destinatários são aconselhados a monitorar regularmente suas contas financeiras para atividades suspeitas ou cobranças que não reconhecem e entrar em contato com seu banco e/ou autoridades policiais para denunciá-lo o mais rápido possível.
O estado do Maine também criou um centro de chamadas dedicado para abordar as preocupações das pessoas sobre este incidente de segurança no número (877) 618-3659 (de segunda a sexta, das 9h às 21h ET).
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...