據(jù)BleepingComputer消息，美國最大的牙科保險公司Delta Dental發(fā)布通告稱，由于近期受MOVEit Transfer 軟件漏洞影響，近700萬客戶的個人信息已遭到泄露。

MOVEit Transfer 容易受到零日 SQL 注入漏洞的影響（CVE-2023-34362），導(dǎo)致遠程代碼執(zhí)行。

該公司披露，他們在今年6月1日發(fā)現(xiàn)該漏洞，經(jīng)過內(nèi)部調(diào)查，發(fā)現(xiàn)已有攻擊者竊取了5月27日至5月30日期間保存在MOVEit平臺上的信息。公司已于 11 月 27 日完成了第二輪的調(diào)查，以確定安全事件的確切影響。

最終，該事件波及美國加州的 6928932 名客戶 ，其姓名、財務(wù)帳號、信用卡/借記卡號、安全代碼等均已泄露。而近700萬的受害群體也成為已知的第三大 MOVEit 數(shù)據(jù)泄露事件，僅次于美國政府項目承包商Maximus泄露的1100萬和醫(yī)療軟件供應(yīng)商Welltok的800萬。

Delta Dental 在給受影響客戶的通知中寫道：“我們認(rèn)真對待您信息的隱私和安全，對于這可能給您帶來的任何擔(dān)憂或不便，我們深表歉意?！?/p>

出于彌補，Delta Dental為受影響的客戶提供 24 個月免費的信用監(jiān)控和身份盜竊保護服務(wù)，以降低其數(shù)據(jù)泄露的風(fēng)險，有關(guān)注冊該計劃的詳細信息已包含在個人通知中。

雖然目前尚未披露攻擊者的身份，但這不禁讓人聯(lián)想到MOVEit漏洞最大的利用者——擁有俄羅斯背景的勒索軟件組織Clop。據(jù)Emsisoft 研究人員表示，Clop借此漏洞對超過 2600 個組織（主要在美國）發(fā)起了攻擊，受影響人數(shù)超過了8300萬。