Sony ha confermato l’intrusione non autorizzata nei sistemi interni e il download di alcuni dati personali dei dipendenti e loro familiari negli Stati Uniti. Il data breach è stata effettuato sfruttando una vulnerabilità zero-day della piattaforma MOVEit Transfer di Progress Software. Gli autori dell’attacco son i cybercriminali del gruppo Clop.
Data breach avvenuto quattro mesi fa
Sony ha contattato tutti gli interessati per spiegare che l’accesso non autorizzato è avvenuto il 28 maggio 2023. Progress Software ha pubblicato l’avviso di sicurezza relativo alla vulnerabilità CVE-2023-34362 il 31 maggio 2023, quindi tre giorni dopo. L’azienda giapponese ha tuttavia scoperto l’intrusione il 2 giugno 2023.
Sfruttando la vulnerabilità, i cybercriminali hanno effettuato il download dei dati dalla piattaforma MOVEit Transfer. Il numero di persone interessate non è indicato nella comunicazione inviata agli interessati, ma è specificato nella notifica inviata al Procuratore Generale del Maine: 6.791. Il gruppo Clop aveva aggiunto Sony all’elenco delle vittime a fine giugno.
La piattaforma è stata ovviamente messa offline e successivamente aggiornata. Sony ha segnalato l’accaduto alle autorità statunitensi e avviato un’indagine con l’aiuto di esperti esterni. Sebbene non risultino usi fraudolenti delle informazioni personali (numero di sicurezza sociale), l’azienda giapponese fornisce gratuitamente i servizi di monitoraggio del credito e di ripristino dell’identità tramite Equifax.
Sony ha confermato anche il data breach avvenuto a fine settembre. Ignoti cybercriminali hanno effettuato l’accesso ad un server (posizionato in Giappone) usato dalla divisione Entertainment, Technology and Services (ET&S). Il server è stato messo offline, ma al momento non risulta il furto di dati, né dei clienti né dei partner.