O maior fundo de pensão público do país diz que as informações pessoais de cerca de 769.000 funcionários aposentados da Califórnia e outros beneficiários – incluindo números de seguro social – estavam entre os dados roubados por cibercriminosos russos na violação de um popular aplicativo de transferência de arquivos.
Ele culpou a violação de um fornecedor terceirizado que verifica as mortes. O mesmo fornecedor, PBI Research Services/Berwyn Group, também perdeu os dados pessoais de pelo menos 2,5 milhões de segurados da Genworth Financial, incluindo números de Seguro Social, para a mesma gangue criminosa, de acordo com a seguradora Fortune 500.
O sistema de aposentadoria dos funcionários públicos da Califórnia disse que estava oferecendo aos membros afetados dois anos de monitoramento de crédito gratuito. A Genworth disse em um comunicado publicado online que ofereceria monitoramento de crédito e proteção contra roubo de identidade.
Especialistas em segurança cibernética estimam que a violação do programa de transferência de arquivos MOVEit, descoberta no mês passado, tenha comprometido centenas de organizações em todo o mundo. As vítimas confirmadas incluem o Departamento de Energia dos EUA e várias outras agências federais, mais de 9 milhões de motoristas em Oregon e Louisiana, a Universidade Johns Hopkins, Ernst & Young, a BBC e a British Airways.
O sistema de aposentadoria dos funcionários públicos da Califórnia disse que estava oferecendo aos membros afetados dois anos de monitoramento de crédito gratuito. A Genworth disse em um comunicado publicado online que ofereceria monitoramento de crédito e proteção contra roubo de identidade.
Especialistas em segurança cibernética estimam que a violação do programa de transferência de arquivos MOVEit, descoberta no mês passado, tenha comprometido centenas de organizações em todo o mundo. As vítimas confirmadas incluem o Departamento de Energia dos EUA e várias outras agências federais, mais de 9 milhões de motoristas em Oregon e Louisiana, a Universidade Johns Hopkins, Ernst & Young, a BBC e a British Airways.
A gangue criminosa por trás do hack, conhecida como Cl0p, está extorquindo as vítimas, ameaçando despejar seus dados online se não pagarem.
A Genworth divulgou o hack na quinta-feira da instância MOVEit gerenciada pela PBI Research em um arquivamento na Comissão de Valores Mobiliários.
A PBI Research, com sede em Minnesota, não retornou imediatamente uma mensagem telefônica buscando detalhes sobre quais de seus outros clientes podem ter sido afetados. O site da empresa lista os fundos de pensão públicos de Nevada, Nova Jersey e Tennessee entre os clientes de seu serviço de verificação de mortalidade.
Essa violação externa de informações é indesculpável”, disse a CEO da CalPERS, Marcie Frost, em um comunicado à imprensa. “Nossos membros merecem mais. Assim que soubemos do que aconteceu, tomamos medidas rápidas para proteger os interesses financeiros de nossos membros, bem como medidas para garantir proteções de longo prazo.”
O CalPERS tinha mais de US$ 442 bilhões em ativos em 31 de dezembro e cerca de 1,5 milhão de membros.
Especialistas em segurança dizem que os chamados hacks da cadeia de suprimentos expõem uma verdade desconfortável sobre o software que as organizações usam: a segurança da rede é tão forte quanto o link digital mais fraco do ecossistema.
Os dados roubados incluíam nomes, datas de nascimento e números de CPF – e também podem incluir nomes de cônjuges ou parceiros domésticos e filhos, disseram as autoridades. O CalPERS planejava enviar cartas na quinta-feira aos afetados pela violação.
A CalPERS disse que a PBI notificou a violação em 6 de junho, no mesmo dia em que as empresas de segurança cibernética começaram a emitir relatórios sobre a violação do MOVEit, cujo fabricante, Ipswitch, é propriedade da Progress Software.
A PBI relatou a violação à aplicação da lei federal e o CalPERS colocou “proteções adicionais” para proteger as informações dos aposentados que usam o site de benefícios para membros e visitam um escritório regional, disseram autoridades. A agência não deu detalhes sobre essas salvaguardas, citando razões de segurança.