紐約市近 45,000 名學生個資因 MOVEit 資安漏洞而遭外洩
- 發布單位:TWCERT/CC
- 更新日期:2023-06-30
- 點閱次數:10674
美國紐約市教育局(New York City Department of Education, NYC DOE)日前指出,有駭侵者透過 MOVEit 資安漏洞入侵該局一台伺服器,竊取多達 45,000 學生的個人機敏資訊。
NYC DOE 指出,這 45,000 名學生的資料,係在伺服器間轉檔的過程中,遭到駭侵者利用 CVE-2023-34362 MOVEit 漏洞竊得。雖然 NYC DOE 在該漏洞公開後立即予以修補,但駭侵者是在該漏洞仍為 0-day 漏洞期間就利用該漏洞竊得資料。
NYC DOE 表示,目前正在與紐約市資安相關單位合作調查本次個資外洩事件;就目前掌握的資訊來看,遭到不當存取的伺服器中文件約有 19,000 筆,除了有 45,000 名學生的個資遭到外洩,另有若干 DOE 員工和相關服務廠商人員的資料也遭到竊取。
NYC DOE 說,受此次駭侵攻擊影響而外洩的資料類型,包括社會福利號碼(Social Security Number)和員工編號等。NYC DOE 也說,由於 MOVEit 漏洞的影響和攻擊活動相當廣泛,目前美國聯邦調查局(Federal Bureau of Investigation)正在擴大偵辦。
據資安專家指出,Clop 勒贖團體已開始利用藉由 MOVEit 漏洞攻擊所取得的資料,對多個對象進行勒贖要脅;受到該團體勒贖的單位,包括殼牌石油(Shell)、喬治亞大學(University of Georgia)、喬治亞大學系統(University System of Georgia)、Heidelberger Druck、聯合健診學生資源(UnitedHealthcare Student Resources)等公私單位在內。
建議各公私單位應立即修補 MOVEit (CVE-2023-34362)漏洞,並調查在漏洞修補之前是否發生入侵事件,以了解資料是否遭竊並予以應對。