Sony conferma la violazione dei dati personali di 7.000 dipendenti
Sony Interactive Entertainment (SIE) ha confermato che circa 6.800 dipendenti attuali e passati hanno avuto le loro informazioni personali esposte a causa di una violazione dei dati. La società ha contattato le persone colpite e le ha informate di quanto accaduto.
Secondo Sony, la violazione ha coinvolto la piattaforma di trasferimento file MOVEit usata dai dipendenti di SIE, che è sviluppata da Progress Software, un fornitore di servizi IT terzo. Progress ha annunciato il 31 maggio di aver scoperto una vulnerabilità in MOVEit, ma tre giorni prima, un “soggetto non autorizzato” aveva già usato la vulnerabilità per scaricare i file di SIE, accedendo alle informazioni personali di 6.791 dipendenti attuali e passati di SIE basati negli Stati Uniti.
Sony sostiene che l’incidente è stato limitato a questa particolare piattaforma software e non ha avuto alcun impatto sui suoi altri sistemi.
“Il 2 giugno 2023, SIE ha scoperto i download non autorizzati, ha immediatamente messo offline la piattaforma e ha risolto la vulnerabilità”, dice Sony in una lettera inviata agli ex dipendenti i cui dati sono stati accessi. "È stata poi avviata un’indagine con l’assistenza di esperti esterni di cybersecurity. Abbiamo anche notificato alle forze dell’ordine.
“Una volta che SIE ha identificato i file scaricati, abbiamo iniziato un processo per determinare quali tipi di informazioni personali sono stati colpiti e a chi si riferiscono. Sebbene abbiamo lavorato velocemente, questo è stato un processo che richiede tempo, e volevamo fornirvi informazioni accurate.”
Sony sta offrendo alle persone colpite servizi gratuiti di monitoraggio del credito e di ripristino dell’identità e chiede loro di prestare attenzione ai segni di furto d’identità o frode.
I dati sono stati presumibilmente rubati da CL0P, un gruppo hacker che ha annunciato a fine giugno di aver accesso alle informazioni dei dipendenti Sony.
Il mese scorso, un altro gruppo ha affermato di aver violato con successo Sony Group e minacciava di vendere i dati rubati dalla società giapponese. Sony ha detto di stare indagando sulla situazione.
Un portavoce di Sony ha detto all’epoca: “Sony sta indagando sulle recenti affermazioni pubbliche di un incidente di sicurezza in Sony. Stiamo lavorando con esperti forensi terzi e abbiamo identificato attività su un singolo server situato in Giappone usato per i test interni per il business Entertainment, Technology and Services (ET&S).”
