PROGRESS SOFTWARE CORPORATION Maar meer dan twee maanden nadat de inbraak door het in Massachusetts gevestigde Progress Software voor het eerst bekend werd gemaakt, is het aantal slachtoffers nauwelijks afgenomen. Uit de tellingen blijkt dat tot nu toe bijna 40 miljoen mensen getroffen zijn door de hack van Progress' bestandsbeheerprogramma MOVEit Transfer. Nu zijn de betrokken digitale afpersers, een groep met de naam "cl0p", steeds agressiever geworden in het openbaar maken van hun gegevens.
"We bevinden ons nog maar in de allereerste fase hiervan," zegt Marc Bleicher, chief technology officer van het incident response bedrijf Surefire Cyber. "Ik denk dat we de echte impact en gevolgen later zullen gaan zien."
MOVEit wordt door organisaties gebruikt om grote hoeveelheden vaak gevoelige gegevens te verzenden: pensioeninformatie, burgerservicenummers, medische dossiers, factuurgegevens en dergelijke. Omdat veel van deze organisaties gegevens namens anderen behandelden, die de gegevens op hun beurt weer van derden kregen, heeft de hack zich op soms ingewikkelde manieren naar buiten verspreid.
Toen cl0p bijvoorbeeld de MOVEit-software ondermijnde die gebruikt werd door een bedrijf genaamd Pension Benefit Information, dat gespecialiseerd is in het opsporen van nabestaande familieleden van pensioenfondsdeelnemers, kregen ze toegang tot de gegevens van de in New York gevestigde Teachers Insurance and Annuity Association of America, die op haar beurt pensioenprogramma's beheert voor 15.000 institutionele klanten, waarvan er veel de afgelopen weken hebben besteed aan het informeren van werknemers over hun blootstelling.
"Er is een domino-effect," zei John Hammond van Huntress Security, een van de eerste onderzoekers die de inbreuk begon te volgen.
Hacks door groepen zoals cl0p komen met een verdovende regelmaat voor. Maar de grote verscheidenheid aan slachtoffers van de MOVEit-compromittering, van openbare scholieren in New York tot chauffeurs in Louisiana en gepensioneerden in Californië, heeft het tot een van de meest zichtbare voorbeelden gemaakt van hoe een enkele fout in een obscuur stukje software een wereldwijde privacyramp kan veroorzaken.
Christopher Budd, een expert op het gebied van cyberbeveiliging bij het Britse bedrijf Sophos, zei dat de inbreuk eraan herinnerde hoe afhankelijk organisaties van elkaars digitale verdediging zijn.
Progress zei dat het het slachtoffer was geworden van "een geavanceerde en hardnekkige cybercriminele groep" en dat het zich concentreerde op het ondersteunen van haar klanten.
DUIZENDEN BEDRIJVEN
De hackcampagne van Cl0p begon op 27 mei, volgens twee mensen die bekend zijn met het onderzoek van Progress.
Progress kreeg de volgende dag voor het eerst lucht van de compromittering, toen een klant het bedrijf waarschuwde voor afwijkende activiteiten, aldus deze bronnen. Op 30 mei stuurde het bedrijf een waarschuwing en de volgende dag kwam er een "patch", of reparatie, die de hackerscampagne gedeeltelijk verijdelde.
"Veel organisaties waren in feite in staat om de patch te implementeren voordat er misbruik van kon worden gemaakt," zei Eric Goldstein, een hoge functionaris bij het Amerikaanse Cybersecurity and Infrastructure Security Agency.
Niet alle organisaties hadden zoveel geluk. Details over de hoeveelheid gestolen materiaal of het aantal getroffen organisaties zijn niet openbaar, maar Nathan Little, wiens bedrijf Tetra Defense - onderdeel van het beveiligingsbedrijf Arctic Wolf - heeft gereageerd op tientallen MOVEit-gerelateerde incidenten, schat dat de inbreuk waarschijnlijk duizenden bedrijven heeft getroffen.
"We zullen misschien nooit het exacte gedetailleerde aantal weten," zei hij.
Sommige analisten hebben geprobeerd het bij te houden. Vanaf dinsdag had cyberbeveiligingsbedrijf Emsisoft 602 slachtoffers geteld met 39,7 miljoen getroffen mensen.
De Duitse IT-analist Bert Kondruss kwam met soortgelijke cijfers, die Reuters bevestigde door ze te vergelijken met openbare verklaringen, bedrijfsdossiers en berichten op Cl0ps.
WIE IS ER BLOOTGESTELD?
Onderwijsorganisaties - hogescholen, universiteiten en zelfs openbare scholen in New York City - vormen een kwart van de slachtoffers, waarbij Emsisoft en Kondruss er alleen al in de VS meer dan 100 tellen.
De ontmaskering is veel verder gegaan dan alleen de academische wereld.
Autorijden? De autoriteiten voor motorvoertuigen van Louisiana en Oregon onthulden gezamenlijk de compromittering van ongeveer 9 miljoen records. Gepensioneerd? Pensioenbeheerorganisaties zoals het California Public Employees' Retirement System en T. Rowe Price werden gekraakt via Pension Benefit Information. Alleen al de inbraak bij Maximus, een aannemer van de Amerikaanse overheid, resulteerde in de compromittering van gegevens van 8 tot 11 miljoen mensen.
Een klein lichtpuntje? De hackers hebben misschien te veel gegevens binnengehaald om ze allemaal vrij te geven.
Alexander Urbelis, senior counsel bij het in New York gevestigde advocatenkantoor Crowell & Moring, dat slachtoffers heeft geholpen om hun blootstelling aan de hackersleepnet te bepalen, zei dat buitengewoon trage downloadsnelheden van de krakerige darknet-website van de hackers "het vrijwel onmogelijk hebben gemaakt voor iemand" - al dan niet met goede bedoelingen - "om toegang te krijgen tot de gestolen gegevens".
Goldstein, de Amerikaanse ambtenaar, zei dat in "veel gevallen" de gegevens nog moesten uitlekken.
Cl0p, dat geen antwoord gaf op berichten van Reuters, lijkt te proberen zijn spel te verbeteren. Eind vorige maand creëerde het websites die speciaal bedoeld waren om gestolen gegevens beter te verspreiden. Eerder deze week begon het met het delen van de gegevens via peer-to-peer netwerken.
Dat is slecht nieuws voor de slachtoffers, aldus Bleicher van Surefire.
"Zodra deze gegevens langzaam uitlekken, komen ze meer in de ondergrondse terecht," zei hij. De impact van het lek zal op zijn beurt "waarschijnlijk veel groter worden dan we nu denken." (Verslaggeving door Raphael Satter en Zeba Siddiqui; Redactie door Chris Sanders en Grant McCool)
