• 發布單位:TWCERT/CC
• 更新日期:2023-06-30
• 點閱次數:8729

美國紐約市教育局（New York City Department of Education, NYC DOE）日前指出，有駭侵者透過 MOVEit 資安漏洞入侵該局一台伺服器，竊取多達 45,000 學生的個人機敏資訊。

NYC DOE 指出，這 45,000 名學生的資料，係在伺服器間轉檔的過程中，遭到駭侵者利用 CVE-2023-34362 MOVEit 漏洞竊得。雖然 NYC DOE 在該漏洞公開後立即予以修補，但駭侵者是在該漏洞仍為 0-day 漏洞期間就利用該漏洞竊得資料。

NYC DOE 表示，目前正在與紐約市資安相關單位合作調查本次個資外洩事件；就目前掌握的資訊來看，遭到不當存取的伺服器中文件約有 19,000 筆，除了有 45,000 名學生的個資遭到外洩，另有若干 DOE 員工和相關服務廠商人員的資料也遭到竊取。

NYC DOE 說，受此次駭侵攻擊影響而外洩的資料類型，包括社會福利號碼（Social Security Number）和員工編號等。NYC DOE 也說，由於 MOVEit 漏洞的影響和攻擊活動相當廣泛，目前美國聯邦調查局（Federal Bureau of Investigation）正在擴大偵辦。

據資安專家指出，Clop 勒贖團體已開始利用藉由 MOVEit 漏洞攻擊所取得的資料，對多個對象進行勒贖要脅；受到該團體勒贖的單位，包括殼牌石油（Shell）、喬治亞大學（University of Georgia）、喬治亞大學系統（University System of Georgia）、Heidelberger Druck、聯合健診學生資源（UnitedHealthcare Student Resources）等公私單位在內。

建議各公私單位應立即修補 MOVEit （CVE-2023-34362）漏洞，並調查在漏洞修補之前是否發生入侵事件，以了解資料是否遭竊並予以應對。