Le ministère de l’Éducation de la ville de New York est devenu la dernière organisation à divulguer le vol de données privées dans le cadre du vaste piratage du logiciel de transfert de fichiers MOVEit. Dans un e-mail envoyé aux parents dimanche, l’agence a déclaré que les informations personnelles d’environ 45 000 étudiants, y compris dans certains cas les numéros de sécurité sociale et les dates de naissance, avaient récemment été compromises. Le ministère de l’Éducation a déclaré que les informations personnelles du personnel avaient également été consultées, mais n’a pas partagé le nombre d’enseignants et d’autres membres du personnel concernés.
« La sûreté et la sécurité de nos étudiants et de notre personnel, y compris leurs informations et données personnelles, sont de la plus haute importance pour le Département de l’éducation de la ville de New York. Notre priorité absolue est de déterminer exactement quelles informations confidentielles ont été exposées et l’impact spécifique pour chaque individu concerné », a déclaré dimanche le département. « Lorsque cette décision sera prise, nous commencerons à préparer des notifications aux personnes dont les informations confidentielles ont été compromises. Parallèlement à la notification, les individus se verront offrir l’accès à un service de surveillance d’identité.
Le Département de l’éducation est l’une des nombreuses organisations touchées par le piratage MOVEit. Clop, un gang de rançongiciels soupçonné d’avoir des liens pro-russes, a revendiqué la cyberattaque début juin. Le groupe a profité d’une vulnérabilité zero-day dans le logiciel de transfert de fichiers d’entreprise pour pirater les serveurs de « centaines d’entreprises », dont le plus grand fonds de pension américain. L’ampleur de la violation du Département de l’éducation de la ville de New York est petite par rapport à certaines des autres victimes prises dans le piratage, mais se distingue par l’inclusion d’informations personnelles sur des mineurs. Dans une interview avec Ordinateur qui bipe, le gang Clop a affirmé qu’il effacerait toutes les données obtenues des gouvernements, de l’armée et des hôpitaux pour enfants. Il n’est pas clair si le groupe inclut des données sur les étudiants dans cette dernière catégorie.