Deux écoles américaines ont confirmé que TIAA, une organisation à but non lucratif qui fournit des services financiers aux particuliers dans les domaines universitaires, a été prise dans les hacks de masse ciblant les outils de transfert de fichiers MOVEit.
Le Middlebury College dans le Vermont et le Trinity College dans le Connecticut ont tous deux publié des avis de sécurité confirmant qu’ils ont subi des violations de données à la suite d’un incident de sécurité à la Teachers Insurance and Annuity Association of America, ou TIAA. Selon son site Web, TIAA dessert plus de cinq millions d’employés actifs et retraités participant à plus de 15 000 institutions et gère 1,3 billion de dollars d’actifs dans plus de 50 pays.
Les deux avis de sécurité confirment que TIAA a été affectée par l’exploitation généralisée par des pirates d’une faille dans MOVEit Transfer, un outil de transfert de fichiers d’entreprise développé par Progress Software.
Dans une déclaration donnée à TechCrunch, le porte-parole de la TIAA, Chad Peterson, a confirmé que l’organisation n’était pas directement touchée par MOVEit, mais a également été touchée par une violation chez l’un de ses fournisseurs tiers utilisant MOVEit Transfer. Le fournisseur, nommé Pension Benefit Information (PBI), est utilisé par TIAA pour les services d’audit et de localisation des bénéficiaires.
« Aucune information n’a été obtenue des systèmes de TIAA et les systèmes de TIAA n’étaient pas menacés par la vulnérabilité MOVEit Transfer », a déclaré Peterson. « Nous n’avons observé aucune activité inhabituelle liée à cet événement impliquant des comptes TIAA. »
Le piratage de masse a jusqu’à présent fait plus de 160 victimes, selon Brett Callow, analyste des menaces chez Emsisoft, y compris le ministère américain de la Santé et des Services sociaux (HHS) et Siemens Energy. Seules 12 de ces victimes ont confirmé le nombre de personnes touchées, qui s’élève déjà à plus de 16 millions d’individus.
Trinity College, qui utilise TIAA comme responsable des dossiers pour son plan de rente, a déclaré dans un communiqué que bien que ses propres systèmes n’aient pas été affectés par le piratage MOVEit, « TIAA, avec qui Trinity partage les données des employés étudiants, a annoncé que ses fichiers pourraient être affectés. .” Trinity a déclaré qu’elle partageait les numéros de sécurité sociale et les dates de naissance avec TIAA.
Le Middlebury College a déclaré avoir également été informé par la TIAA, avec qui il partage des informations personnellement identifiables, que des données appartenant au collège avaient été exposées en raison de la cyberattaque. Bien qu’il n’ait pas confirmé exactement quels types de données ont été consultés, Middlebury a déclaré avoir informé les « étudiants, les professeurs et le personnel » du collège dont les informations pourraient avoir été compromises lors de la violation.
Middlebury a confirmé qu’il avait également été touché par une attaque MOVEit contre le National Student Clearinghouse, qui a entraîné l’exposition des données des étudiants.
Bien que la TIAA ait informé les écoles concernées de son incident de sécurité, l’organisation n’a pas encore reconnu publiquement l’incident. En réponse à un utilisateur de Twitter s’interrogeant sur le silence de l’organisation, TIAA a répondu disant que ses bureaux étaient fermés.
On ne sait pas encore combien d’organisations ont été touchées par la cyberattaque contre TIAA. La TIAA n’a pas encore été répertoriée sur le site Web sombre du gang de rançongiciels Clop lié à la Russie, qui a revendiqué la responsabilité des cyberattaques MOVEit en cours.
Mis à jour avec le commentaire de TIAA.