Компания Progress Software, разработчик программного обеспечения MOVEit, подтвердила, что получила повестку в суд от Комиссии по ценным бумагам и биржам США (SEC) с просьбой предоставить «различные документы и информацию», касающуюся уязвимости MOVEit Transfer.
«Расследование SEC — это расследование по установлению фактов. Оно не означает, что Progress или кто-либо ещё нарушил федеральные законы о ценных бумагах», — заявил представитель компании, добавив, что организация намерена полностью сотрудничать со следствием.
Несмотря на масштабы инцидента, компания Progress ожидает минимальных штрафов от регуляторов. Компания заявила, что в связи с уязвимостью в ПО MOVEit Transfer понесла расходы в размере миллиона долларов с учётом полученных и ожидаемых страховых выплат в размере порядка 1,9 млн долларов.
Progress отмечает, что окончательные убытки от инцидента будут подсчитаны после рассмотрения всех судебных исков. Так, 23 пострадавших клиента подали судебный иск против компании и «намерены требовать возмещения ущерба». Еще 58 коллективных исков были поданы лицами, которые утверждают, что пострадали в результате утечек.
Портал TechCrunch напоминает, что хотя с момента обнаружения уязвимости нулевого дня MOVEit прошло почти полгода, а точное число затронутых клиентов MOVEit Transfer остается неизвестным. Компания по кибербезопасности Emsisoft подсчитала, что на сегодня 2546 организаций уже подтвердили утечки из своей инфраструктуры, что затронуло более 64 млн человек.
При этом сведения о новых жертвах продолжают поступать. Компания Sony подтвердила утечку данных более 6000 сотрудников, а Flagstar Bank (США) сообщил, что было украдено более 800 тыс. записей клиентов.
Progress Software заявила, что готова понести дополнительные расходы в размере 4,2 млн долларов, связанные с отдельным инцидентом кибербезопасности в ноябре 2022 года. Подробности инцидента не раскрываются, однако, известно, что в прошлом декабре Progress Software обнаружила доказательства несанкционированного доступа к своей корпоративной сети, в результате которого были украдены некоторые данные компании. Progress Software продолжает расследование с привлечением внешних экспертов. Компания уже получила около 3 млн долларов в виде страховых выплат. При этом инцидент 2022 года не связан с какими-либо «недавно обнаруженными уязвимостями программного обеспечения».
Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача. Организаторы — ГК «Гарда», Медиа Группа «Авангард» при поддержке ФСТЭК России.
