Компания Maximus сообщила о масштабной утечке данных. Она является официальным подрядчиком правительства США и управляет большим числом спонсируемых правительством программ. В их числе федеральные и местные программы здравоохранения, а также сервисы предоставления студенческих займов. Компания имеет представительства в США, Великобритании, Канаде и Австралии, ее штат превышает 34 тысячи человек, а годовой доход составляет порядка 4,25 миллиардов долларов.

В заявлении компании сказано, что злоумышленники воспользовались уязвимостью нулевого дня в сервисе передачи файлов MOVEit (CVE-2023-34362). Предварительное расследование показало, что атака не затронула другие системы и была оперативно изолирована специалистами Maximus вскоре после обнаружения. Однако в руках хакеров оказались огромные объемы конфиденциальных данных. По оценкам представителей компании похищена личная информация от 8 до 11 миллионов человек. Речь идет в том числе о таких чувствительных сведениях как номера социального страхования и истории болезней. В настоящее время всех затронутых инцидентом лично уведомляют о произошедшем. Компания также оценивает предполагаемую сумму затрат на ликвидацию последствий атаки в 15 миллионов долларов.

Ответственность за атаку уже взяла на себя киберпреступная группировка Clop. Накануне она внесла Maximus в список жертв на своем сайте утечек. Всего же этот список пополнился названиями 70 компаний, которые также пользовались сервисом MOVEit. Его взлом стал одной из самых громких и, к несчастью, успешных кибератак последнего времени. Хакеры утверждают, что похитили у Maximus 196 гигабайт данных. При этом образцы данных на сайте не выложены. Это говорит о том, что вымогатели ведут переговоры с компанией и надеются на получение выкупа.