Les données de plus de six mille employés ont été saisies pendant la cyberattaque. Sony confirme aussi un autre incident.
Sony a confirmé l’incident dans une lettre adressée aux employés concernés, que Bleeping Computer a pu lire aussi. Le piratage est censé avoir saisi les données de 6 800 employés (américains), actuels et anciens. Le collectif de pirates russes Clop revendique l’attaque et les auteurs ont fort probablement exploité un « zero day » dans MOVEIt. Sony précise que les autres systèmes n’ont pas été affectés.
Like to MOVEit, MOVEit
MOVEit est un logiciel de transfert de fichiers géré par la société Progress Software. Au début de juin, on a découvert un zero day critique dans le logiciel qui permet aux pirates d’accéder au contenu des fichiers par le biais d’une injection SQL. Hélas pour Sony, l’incident s’était déjà produit le 28 mai.
Ainsi, Sony rejoint l’illustre liste des victimes de Clop et de MOVEit. Pas moins de quatre cents organisations auraient déjà fait leur entrée sur cette liste. Les noms les plus connus sont ceux de la société de cosmétiques Estee Lauder, de la Deutsche Bank, du géant de l’énergie Shell et du ministère américain de l’Énergie. Il est probable qu’il y ait également des victimes au Benelux.
Progress Software traverse une période difficile. La crise du zero day MOVEit est à peine guérie et la prochaine vulnérabilité critique émerge déjà. Il y a quelques jours, Progress Software a averti d’un zero day dans WS_FTP, qui serait également activement exploité. Cependant, on a déjà publié un correctif.
Deuxième incident
La sécurité chez Sony est elle aussi perturbée. Il y a des rumeurs sur une nouvelle attaque contre l’entreprise, dans laquelle deux groupes de pirates différents ont craqué un serveur et volé plusieurs gigaoctets de données. Sony semble confirmer cet incident dans une déclaration à BleepingComputer, mais en minimise aussi la gravité.
« Sony examine les récentes allégations concernant un incident de sécurité. Nous avons détecté une activité sur un serveur utilisé par le Japon dans le cadre de tests internes pour le secteur du divertissement. On n’a pour l’instant aucune indication que des données de clients ou de partenaires commerciaux aient été stockées sur le serveur touché ou que d’autres systèmes aient été affectés. Aucune conséquence négative n’est attendue pour les activités de Sony. Nous avons mis ce serveur hors ligne pendant la durée de l’enquête », précise le communiqué.
Il semble improbable que ce piratage soit également le résultat du zero day de MOVEit. On ne sait donc pas encore comment les attaquants ont pu s’introduire dans le système.