Puma因軟體商被勒索軟體攻擊外洩逾6千員工資料

運動品牌Puma使用的人力管理雲端服務Kronos於去年底發生勒索軟體攻擊，導致該公司6千多名員工個資外洩。

Puma合作廠商Kronos上周向多州檢察官呈交的文件揭露此事。Kronos是勞動力及人力資源管理雲服務，去年12月11日該公司發現某個雲端系統服務中斷，後來發現是發生勒索軟體攻擊，並波及Puma。

調查顯示，發動攻擊的駭客組織已在2021年初存取Kronos Private Cloud雲端環境，並將其環境加密且竊走其中資料。攻擊事件已經獲得緩解，該公司事後調查發現有部份客戶個資遭到非法存取或取得，並在2022年1月10日通知Puma。

Kronos Private Cloud代管Kronos多項人力資源管理服務，包括Workforce Central、Workforce TeleStaff、Enterprise Archive、TeleTime IP、 Extensions for Healthcare (EHC)等，該平臺有防火牆、多因素驗證及加密傳輸提供防護。

Kronos呈交緬因州檢察長的文件顯示，有6,632名Puma員工的個資遭勒索軟體攻擊外洩，被竊的個資包括社會安全碼及其他類型資訊。

Kronos將針對受到影響的用戶，提供信用卡活動監控、身分盜竊保險及身分回復等服務。

Bleeping Computer引述Puma發言人指出，這起事件僅發生在UKG的Kronos Private Cloud系統內，未影響Puma本身的網路，也沒有Puma客戶因此資料外洩。