MFT檔案傳輸系統MOVEit Tranfer因本身存在零時差漏洞CVE-2023-34362,採用這套產品的許多用戶5月底面臨攻擊,當時,有俄羅斯駭客組織Clop犯案,他們從使用這套MFT系統的組織竊取資料,並進行勒索,最近傳出美國證券交易委員會(SEC)對軟體開發商Progress進行相關調查的情況。

根據科技新聞網站TechCrunch的報導Progress近日向美國證券交易委員會提出10-Q季度財務報告,揭露後續進展,當中提及他們收到SEC的傳票,將「完全配合」提供該零時差漏洞有關的各種文件及資訊,該公司強調,SEC進行的是事實調查,並非該公司違反聯邦證券法。

首度透露該公司受到影響的情況

而對於這起攻擊事故造成的損失,Progress認為影響有限,根據他們的評估,由於旗下MFT系統的漏洞,產生約100萬美元的費用,相關的保險理賠預期會進帳190萬美元。但這份季報也談到遇害客戶的反應,他們表示,有23個組織、58名人士向他們提出法律訴訟,而有可能會產生賠償費用。

究竟這起事故帶來的影響有多大?目前仍不得而知,且陸續有企業組織表明受害。例如,大型家用電視遊樂器製造商Sony Interactive Entertainment於10月3日,透露近7千名員工的個資遭到外洩美國商業銀行Flagstar透露超過80萬客戶受到波及。根據資安業者Emsisoft的統計,這起大規模零時差漏洞攻擊影響超過2,500個組織、6,400萬人。

去年11月資安事故同時揭露

另一個引起外界關注的焦點,是Progress提及2022年11月發生的資安事故,當時產生了420萬美元的費用,該公司後來得到約300萬美元的保險理賠。

代表Progress的人士John Eddy向TechCrunch透露,當時該公司察覺內部網路遭到未經受權的存取,部分資料外洩,並在同年12月發布資安通告,但此事故與目前通報的軟體漏洞無關,也沒有透露這起資料外洩事故影響的範圍。

熱門新聞

Advertisement