Une division américaine d’une autre banque canadienne a apparemment été victime de la vulnérabilité du serveur de transfert de fichiers MOVEit.
CIBC National Trust of Chicago, qui fait partie de la Banque Canadienne Impériale de Commerce basée à Toronto, informe les clients de son service Private Wealth Management que certains de leurs renseignements personnels ont été copiés lorsque l’un de ses fournisseurs tiers, Pension Benefit Information (PBI), a été touché par une cyberattaque en mai.
La copie de la lettre déposée auprès du bureau du procureur général du Massachusetts en vertu de sa loi sur la notification des violations de données ne précise pas comment PBI a été compromis. Cependant, dans sa lettre adressée au bureau du procureur de l’État, PBI affirme que son serveur MOVEit a été piraté entre le 29 et le 30 mai, et qu’un certain nombre d’organisations se sont manifestées depuis pour affirmer que les données que PBI traitait pour elles avaient été volées à cette époque.
Selon les chercheurs d’Emsisoft, depuis fin mai, au moins 41 organisations ont admis que le piratage du serveur MOVEit de PBI avait entraîné la perte des données qu’elles envoyaient à l’entreprise.
PBI vérifie des bases de données gouvernementales et autres pour le compte des compagnies d’assurance, des fonds de pension et d’autres organisations à la recherche d’informations telles que les décès afin de garantir que les prestations des entreprises sont correctement versées.
La copie de la lettre de la CIBC au Massachusetts ne précise pas le type d’informations sur les clients de CBIC Private Wealth Management qui ont été volées. Il ne précise pas non plus combien de personnes ont été informées.
Invité à commenter, le siège social de la CIBC à Toronto a déclaré qu’un « petit nombre » de personnes étaient touchées. « Nous avons mené un examen approfondi du problème qui a affecté un fournisseur tiers et nous contactons, le cas échéant, pour leur fournir une assistance, un petit nombre de clients en réaction », a déclaré Tom Wallis, directeur principal des affaires publiques de la banque, dans un courriel. « Les systèmes de CIBC n’ont pas été affectés par l’incident. »
MOVEit, créé par Progress Software Corp., est utilisé pour le transfert sécurisé de fichiers volumineux.
Plus tôt ce mois-ci, la division Scotia Wealth Management de la Banque de Nouvelle-Écosse aux États-Unis a commencé à informer les clients américains dont les données avaient été compromises lorsque le serveur MOVEit de la société de conseil Ernst and Young LLP (EY) a été piraté. La Banque Scotia n’a pas précisé combien de clients étaient concernés.
Le gang de rançongiciel Clop/Cl0p, qui a apparemment découvert la vulnérabilité du jour zéro, s’est attribué le mérite d’environ 250 des piratages de quelques 963 organisations victimes.
Toutes n’ont pas été touchés individuellement. Dans le cas de PBI, par exemple, le fournisseur de services était à l’origine des données volées à des dizaines d’entreprises clientes. À son tour, chaque client peut avoir des centaines de clients, voire plus.
EY, Deloitte et PwC ont été touchés une fois mais, comme PBI, ils ont fait plusieurs victimes.
De plus en plus d’institutions financières américaines admettent que leurs clients ont été victimes en raison de fournisseurs disposant de serveurs MOVEit vulnérables. Dans le cadre des notifications de violation de données déposées auprès du bureau du procureur général du Maine, BankGloucester du Massachusetts a déclaré qu’elle informait un peu plus de 19 000 personnes, et Mauch Chunk Trust Company de Californie a déclaré qu’elle en informait près de 30 000. Toutes deux avaient envoyé des données à Darling Consulting Group, qui conseille les institutions financières sur la gestion des risques et utilise MOVEit pour les transferts de fichiers.
En outre, Oak Ridge Associated Universities (ORAU) du Tennessee a informé le Maine qu’elle envoyait des lettres à un peu plus de 33 000 personnes impliquées dans un programme de sélection supplémentaire du ministère de l’Énergie. ORAU utilise MOVEit pour transférer des données.
(Les lecteurs doivent noter que de nombreuses violations de données aux États-Unis ne seraient pas connues du public sans les lois sur la divulgation de plusieurs États, dont le Maine, le Massachusetts et la Californie. Ces États disposent lois qui obligent les organisations qui envoient des lettres de notification de violation de données aux résidents de leurs États à déposer également une copie de la lettre auprès du bureau de leur procureur général. Ces États publient en ligne une copie de la lettre (sans inclure le nom du destinataire). Pour les journalistes et les chercheurs en sécurité qui tentent de recenser les violations de données, le site du procureur général du Maine est particulièrement informatif car les organisations doivent non seulement déclarer le nombre de lettres envoyées aux résidents de l’État, mais également le nombre total de lettres envoyées aux résidents américains. Au Canada, certaines lois fédérales et provinciales obligent les entreprises victimes de violations de données à informer un commissaire à la vie privée, mais il n’y a aucune obligation de lister publiquement les entreprises victimes.)
Adaptation et traduction française par Renaud Larue-Langlois.
