Os reguladores de valores mobiliários dos Estados Unidos abriram uma investigação sobre o amplo ataque cibernético do MOVEit, que resultou na exposição dos dados pessoais de pelo menos 64 milhões de pessoas, de acordo com a empresa que desenvolveu o software afetado.
A Progress Software confirmou em um documento regulatório recente que recebeu uma intimação da Comissão de Valores Mobiliários dos EUA (SEC) que solicitava “vários documentos e informações” relacionados à vulnerabilidade do MOVEit. A empresa enfatizou que a investigação da SEC é uma apuração de fatos e não indica necessariamente que a Progress ou qualquer outra parte tenha violado as leis federais de valores mobiliários. A empresa declarou sua intenção de cooperar plenamente com a investigação.
No mesmo documento, a Progress indicou que, apesar da escala abrangente do incidente, espera ter um impacto financeiro mínimo decorrente do ataque do MOVEit. A empresa relatou custos de aproximadamente US$ 1 milhão relacionados à vulnerabilidade do MOVEit, considerando os pagamentos de seguros recebidos e esperados, totalizando cerca de US$ 1,9 milhão. No entanto, a Progress reconheceu que ainda existe a possibilidade de sofrer perdas adicionais, uma vez que 23 clientes afetados entraram com ações judiciais e pretendem buscar indenizações. Além disso, 58 ações coletivas foram movidas por indivíduos que alegam terem sido afetados.
Embora tenham se passado quase seis meses desde a descoberta da vulnerabilidade de dia zero do MOVEit, o número exato de clientes do MOVEit Transfer afetados permanece incerto. No entanto, a empresa de segurança cibernética Emsisoft relatou que 2.546 organizações confirmaram ter sido afetadas, impactando mais de 64 milhões de indivíduos. Novas vítimas continuam a ser identificadas, como o recente incidente relacionado ao MOVEit que afetou mais de 6.000 funcionários da Sony e resultou no roubo de mais de 800.000 registros de clientes do Flagstar Bank.
Além do incidente relacionado ao MOVEit, o documento da Progress Software também menciona custos adicionais de US$ 4,2 milhões relacionados a um incidente de segurança cibernética separado que ocorreu em novembro de 2022. Embora o documento não forneça detalhes sobre esse incidente, a Progress revelou anteriormente que detectou evidências de acesso não autorizado à sua rede corporativa, incluindo a exfiltração de dados da empresa.
Embora a Progress tenha mantido sua operação durante o incidente de 2022 e alega que não estava relacionado a nenhuma “vulnerabilidade de software relatada recentemente”, a empresa relatou custos significativos associados à contratação de especialistas externos em segurança cibernética e outros profissionais de resposta a incidentes. Ela também mencionou ter recebido cerca de US$ 3 milhões em pagamentos de seguros em relação a esse incidente.
