החשיפה המתמשכת של קורבנות חדשים שהושפעו מהאקרים המנצלים פגיעות ב- MoveIt – כלי נפוץ להעברת קבצים מבית Progress Software, מדגישה כיצד יכולות מתקפות סייבר להתפתח דרך שרשראות האספקה. חברות מסוימות נגררו לפרצות מידע מבלי שהשתמשו ב- MoveIt וזאת, בעקבות שימוש בתוכנה על ידי השותפים העסקיים שלהן. חברת האנרגיה Shell טוענת כי חלק מהמידע האישי של העובדים ביחידת BG Group שלה, הפך לנגיש בעקבות פריצת ההאקרים לתוכנת MoveIt. יש לציין כי רשימת החברות שנפגעו ממתקפת הסייבר על MoveIt ממשיכה להתרחב ומספר קורבנות הגישו תביעות בטענה לטיפול שגוי בנתונים.
"זה מורכב מאוד, קשה לחזות את ההשפעה במורד הזרם וארגונים לא בהכרח יהיו בטוחים בשלב זה אם הם חשופים באופן כלשהו", אמר ברט קאלו – אנליסט איומי סייבר בחברת אבטחת הסייבר Emsisoft. מאז ש- Progress Software חשפה פגם אבטחה ב- MoveIt ב-31 במאי, יותר מ- 200 חברות טענו שהן הושפעו ממתקפות סייבר על התוכנה והאקרים קיבלו אחריות על תקיפת קרוב ל- 400 ארגונים, ציין קאלו. קבוצת הכופרה Cl0p לקחה אחריות על מתקפות הסייבר ופרסמה נתונים של מספר קורבנות באתר ההדלפות שלה. קאלו הוסיף גם כי ההשפעות ארוכות הטווח של חשיפת כמויות משמעותיות של נתונים אישיים, עלולות להזיק לעסקים כמו גם ללקוחות ולעובדים.
לפחות 13 תביעות המאשימות את MoveIt באבטחת סייבר לקויה הוגשו בבתי משפט פדרליים ברחבי ארה"ב מאז שנחשפה הפגיעות לראשונה. Progress הוציאה תיקון תוך 48 שעות לאחר גילוי פגיעות האבטחה הראשונית. החברה חשפה פגם אבטחה נוסף ב- MoveIt כשבועיים לאחר מכן והוציאה תיקון. Progress פרסמה שלושה תיקונים ב- 5 ביולי עבור חולשות אבטחה נוספות: "אנחנו ממשיכים להתמקד בתמיכה בלקוחות שלנו על ידי סיוע להם לנקוט בצעדים הדרושים כדי להקשיח עוד יותר את הסביבה שלהם, כולל יישום התיקונים שפרסמנו", אמר דובר מטעם Progress והוסיף: "אנחנו ממשיכים לעבוד עם מומחי אבטחת סייבר מובילים בתעשייה כדי לחקור את הנושא ולהבטיח שננקוט בכל אמצעי התגובה המתאימים."
מידע אישי של מיליוני אנשים נחשף בפריצות של MoveIt בארגונים החל מענקית האנרגיה Shell ועד לרשת השידור הבריטית BBC, כמו גם סוכנויות ממשלתיות בארה"ב כולל משרד האנרגיה. חברת ביטוח החיים Genworth Financial טוענת שהאקרים ניגשו לנתונים של 2.5 עד 2.7 מיליון מלקוחותיה וסוכני הביטוח שלה והשיגו מספרי תעודת זהות, תאריכי לידה, שמות וכתובות. חברת Genworth טוענת שהיא לא משתמשת ב- MoveIt אלא הושפעה דרך ספקית מחקרי האוכלוסין שלה – PBI Research Services, שכן משתמשת בה. PBI מסרה כי היא עברה מתקפת סייבר ב- 2 ביוני ויצרה קשר עם לקוחות שנפגעו. בהצהרה למשרד הבריאות האמריקאי ב- 14 ביולי, אמרה PBI כי נתונים אישיים של כ-1.2 מיליון אנשים נחשפו בתקרית.
האקרים ביצעו מספר מתקפות שרשרת האספקה על כלים טכנולוגיים הנמצאים בשימוש נרחב ואלו פגעו בארגונים ובממשלות ברחבי העולם, כולל חברות התוכנה SolarWinds ב- 2020 ו- Kaseya ב- 2021. למתקפת הסייבר ב- 2021 על כלי דומה ל- MoveIt בשם File Transfer Appliance של Accellion – היו השפעות אדווה דומות. ב- 7 ביולי הוגשה תביעה ייצוגית נגד Johns Hopkins University ומערכת הבריאות שלה, בשם עובדים ומטופלים שהמידע שלהם נחשף במתקפת MoveIt.
ארגונים רבים עלולים לא לדעת אם הספקים שלהם הושפעו ממתקפות הסייבר על MoveIt, מה שמחייב צוותי סייבר להשקיע זמן בחקירה, אמרה סוזי סקוויר – נשיאת מרכז שיתוף וניתוח המידע הקמעונאי והאירוח – עמותה המסייעת לחברות במגזר בהחלפת פרטים על איומי סייבר.
