British Airways und BBC von MOVEit-Lieferung betroffen

British Airways, die BBC und die britische Apothekenkette Boots gehören zu den Unternehmen, deren Daten kompromittiert wurden, nachdem Kriminelle eine kritische Schwachstelle bei der Bereitstellung der Dokumentenübertragungs-App MOVEit ausgenutzt hatten.

Microsoft geht davon aus, dass die russische Clop-Ransomware-Crew die Informationen gestohlen hat.

British Airways, die BBC und Boots wurden nicht direkt getroffen. Stattdessen gab der Lohn- und Gehaltsabrechnungsdienstleister Zellis am Montag zu, dass seine MOVEit-Installation ausgenutzt wurde und infolgedessen „einer kleinen Anzahl unserer Kunden“ – darunter das oben erwähnte britische Trio – ihre Daten gestohlen wurden.

Zellis ist nach eigenen Angaben der größte Lohn- und Personaldienstleister im Vereinigten Königreich und zu seinen Kunden zählen Sky, Harrods, Jaguar, Land Rover, Dyson und Credit Suisse. In einer auf seiner Website veröffentlichten Erklärung machte Zellis die MOVEit-Schwachstelle für die Sicherheitsverletzung verantwortlich und stellte fest, dass „die gesamte Zellis-eigene Software nicht betroffen ist und es keine damit verbundenen Vorfälle oder Gefährdungen in irgendeinem anderen Teil unseres IT-Bestands gibt.“

Das Unternehmen beantwortete die spezifischen Fragen des Registers nicht, etwa wie viele und welche Kunden betroffen waren und auf welche Daten zugegriffen wurde. Stattdessen wiederholten die Spinner des Unternehmens die auf der Website veröffentlichte Aussage.

Die Sicherheitslücke wurde am vergangenen Donnerstag bekannt. Und fast sofort begannen Sicherheitsforscher zu warnen, dass Kriminelle die SQL-Injection-Schwachstelle in MOVEit seit mindestens einem Monat „massenhaft ausnutzen“, um in IT-Umgebungen einzudringen und Daten zu stehlen.

Dem Fehler wurde inzwischen ein CVE zugewiesen und er wird nun als CVE-2023-34362 verfolgt. Der Entwickler der App, Progress, hat den Fehler am Freitag behoben. Ein Sprecher lehnte es ab, die spezifischen Fragen von The Register zu beantworten, übermittelte jedoch diese Erklärung per E-Mail:

Progress nimmt die Sicherheit unserer Kunden sehr ernst. Wir können keine Informationen über unsere MOVEit Transfer- und MOVEit Cloud-Kunden offenlegen. Wir können jedoch bestätigen, dass wir sofortige Maßnahmen zum Schutz der Kundenumgebungen ergriffen haben – zunächst durch die Bereitstellung von Anweisungen zur sofortigen Abhilfe, gefolgt von der Veröffentlichung eines Patches für alle MOVEit Transfer-Kunden, und zwar innerhalb von 48 Stunden nach Feststellung der Schwachstelle.

Am Sonntag schrieb Microsoft die Diebstähle einer Ransomware-Bande zu, die es als Lace Tempest verfolgt und die Erpressungsseite Clop betreibt. „Der Bedrohungsakteur hat in der Vergangenheit ähnliche Schwachstellen ausgenutzt, um Daten zu stehlen und Opfer zu erpressen“, sagte Redmond im ersten einer Reihe von Tweets.

British Airways, die rund 35.000 Mitarbeiter beschäftigt, bestätigte, dass sie eines der Opfer eines weiteren großen Angriffs auf die Lieferkette war.

„Wir wurden darüber informiert, dass wir eines der Unternehmen sind, die von Zellis‘ Cybersicherheitsvorfall betroffen sind, der über einen ihrer Drittanbieter namens MOVEit stattfand“, sagte ein Sprecher von British Airways gegenüber The Register. „Wir haben die Kollegen, deren persönliche Daten kompromittiert wurden, benachrichtigt, um ihnen Unterstützung und Rat zu geben.“

Sowohl British Airways als auch Zellis gaben an, den Eingriff dem britischen Information Commissioner's Office (ICO) gemeldet zu haben, und Zellis benachrichtigte die zuständige Datenschutzbehörde in Irland sowie die britische Cyberpolizei.

Ein weiterer Zellis-Kunde, die BBC, berichtete über den Diebstahl persönlicher Daten ihrer Mitarbeiter und dass auch die anderen Zellis-Gehaltsabrechnungsnutzer Boots und Aer Lingus von dem Hack betroffen seien.

Die BBC sagte, dass zu den gestohlenen Daten Personalausweisnummern, Geburtsdaten, Wohnadressen und Sozialversicherungsnummern gehörten. Letztere Informationen sind für Identitätsdiebe besonders wertvoll.

Boots reagierte nicht sofort auf die Anfragen von The Register. Das britische Unternehmen fusionierte 2006 mit dem US-amerikanischen Apothekenriesen Walgreens und gründete die Walgreen Boots Alliance. Es ist unklar, ob in diesem Fall Informationen über Walgreens-Mitarbeiter gestohlen wurden. ®

Senden Sie uns Neuigkeiten