Der US-Dienstleister Maximus ist nun auch von den kritischen Schwachstellen in dem Programm MOVEit-Transfer des Herstellers Progress Software betroffen. Mitglieder der Cybergang Clop nutzen diese Schwachstellen seit einiger Zeit aus. Maximus ist auf das Gesundheits- und Sozialwesen spezialisiert und hat viele Kunden in der öffentlichen Verwaltung in Ländern wie den USA, Kanada, Australien, Italien, Großbritannien und Schweden.

In einer Pflichtnotiz gegenüber der US-Börsenaufsicht SEC hat Maximus nun bekanntgegeben, dass aufgrund einer Zero-Day-Sicherheitslücke in der Software persönliche Informationen einer "signifikanten Zahl" von Betroffenen abgeflossen seien. Um Daten über Personen zu verwalten, "die an verschiedenen Regierungsprogrammen teilnehmen", wird MOVEit genutzt.

Laut Maximus's Erklärung wurde umgehend nach Bekanntwerden des Vorfalls mithilfe "externer Rechts-, Forensik- und Datenanalyseexperten" Untersuchungen begonnen und Abhilfemaßnahmen ergriffen, um die gemeldeten Schwachstellen zu beheben. Zwar sei die Prüfung noch nicht abgeschlossen, aber die betroffenen Dateien seien inzwischen identifiziert. Es wird davon ausgegangen, dass von "mindestens 8 bis 11 Millionen Personen" persönliche Daten einschließlich Sozialversicherungsnummern und "geschützter Gesundheitsinformationen" enthalten seien. Auf "etwa 15 Millionen US-Dollar" schätzt Maximus die bisher durch den Vorfall verursachten Kosten.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE