SACRAMENTO, California — La información personal de unos 769.000 empleados estatales jubilados y otros beneficiarios, incluidos los números de Seguro Social, fueron robados por ciberdelincuentes rusos al violar una popular aplicación de transferencia de archivos.
Los expertos en ciberseguridad estiman que la violación del programa MOVEit, descubierta el mes pasado, ha comprometido a cientos de organizaciones en todo el mundo. Las víctimas confirmadas incluyen al Departamento de Energía de EE. UU. y varias otras agencias federales, más de 9 millones de automovilistas en Oregón y Luisiana, la Universidad Johns Hopkins, Ernst & Young, la BBC y British Airways.
Recibe las noticias locales y los pronósticos del tiempo directo a tu email. Inscríbete para recibir newsletters de Telemundo San Diego aquí.
La banda criminal detrás del hackeo, conocida como Cl0p, extorsiona a las víctimas y amenaza con descargar sus datos en línea si no pagan.
El Sistema de Jubilación de Empleados Públicos de California dijo en un comunicado que un proveedor externo fue violado y usó MOVEit para ayudar a informar sobre las muertes de los miembros y validar la elegibilidad de pago.
“Esta violación externa de información es inexcusable”, dijo la directora ejecutiva de CalPERS, Marcie Frost. “Nuestros miembros merecen algo mejor. Tan pronto como nos enteramos de lo sucedido, tomamos medidas rápidas para proteger los intereses financieros de nuestros miembros, así como medidas para garantizar la protección a largo plazo”.
Los expertos en seguridad dicen que los llamados hackeos de la cadena de suministro exponen una verdad incómoda sobre las organizaciones de software: la seguridad de la red es tan fuerte como el eslabón digital más débil del ecosistema.
Los datos robados incluían nombres, fechas de nacimiento y números de Seguro Social, y también podrían incluir nombres de cónyuges o parejas de hecho e hijos, dijeron las autoridades. Identificó al proveedor como PBI Research Services/Berwyn Group. CalPERS planeó enviar cartas el jueves a los afectados por la brecha.
California
CalPERS dijo que PBI le notificó la violación el 6 de junio, el mismo día que las empresas de seguridad cibernética comenzaron a emitir informes sobre la violación de MOVEit, cuyo fabricante Ipswitch es propiedad de Progress Software.
PBI informó la violación a las fuerzas del orden público federales, y CalPERS colocó “medidas adicionales” para proteger la información de los jubilados que usan el sitio web de beneficios para miembros y visitan una oficina regional, dijeron las autoridades.
