美国医疗照护产业的软体即服务(SaaS)供应商Welltok近日警告,该公司受到MOVEit零时差漏洞的影响,外泄了8,493,379名病患资料,是迄今受到该漏洞影响的第二大受害者,仅次于政府服务机构Maximus所外泄的1,130万笔个资。
勒索软体集团Clop是在今年5月开始针对MOVEit的零时差漏洞CVE-2023-34362展开攻击。MOVEit为Progress Software所提供的档案管理软体,可加密并传输档案,并提供自动化、分析与故障转移功能,CVE-2023-34362是个SQL注入漏洞,允许未经授权的使用者存取MOVEit Transfer资料库,其CVSS风险评分高达9.8,而Progress Software则是在5月31日修补了该漏洞。
根据资安业者Emsisoft的统计,Clop利用该漏洞总计入侵了2,636个组织,存取了超过8,000万笔的个人资料。
其实Welltok今年10月底就曾低调披露此事,指出该公司曾在7月26日收到警告,宣称其MOVEit Transfer伺服器遭到入侵,由于Welltok先前即安装了MOVEit的所有修补程式,也基于当时所拥有的资讯针对系统及网路进行检查,认为系统并未受到危害。
但Welltok仍持续与第三方资安专家合作进行更深入的调查,却在8月11日发现骇客曾在5月30日存取该公司的MOVEit Transfer伺服器。该伺服器上存放了20个医疗组织的病患资料,包括姓名、地址、电话号码、电子邮件帐号,且约有100万Corewell Health病患资料的健保资讯、社会安全码及诊断资料遭到存取。
Welltok已代替这些组织通知受到波及的病患,也负责提供免费的信用监控服务。