IBM遭MOVEit漏洞攻擊，致數百萬美國人健康資訊外流

IBM成檔案傳輸平臺MOVEit Transfer攻擊事件最新受害者，也連帶影響至少美國2州的公民健保資訊外洩。

科羅拉多州負責州政府健保業務資訊的健康政策與融資業務部（Colorado Department of Health Care Policy & Financing，HCPF）上周公布，資料處理委外業者IBM通知，後者所使用的檔案傳輸服務MOVEit遭到駭客攻擊，連帶導致409萬州民的健保計畫（Medicaid program）資料被竊取。但該機構表示，經過調查該部門或科羅拉多州系統未受影響。

IBM和該州的合約下，利用MOVEit Transfer平臺進行日常的資料傳輸。該州說明，IBM在得知事件後通知該部門並展開調查。根據調查，IBM使用的MOVEit所傳輸的部分HCPF檔案，於今年5月28日左右遭未經授權的攻擊者存取。被存取的檔案包含該州409萬餘人健保會員資訊，資料涵括姓名、社會安全號碼、醫療資訊、健康保險資訊等。IBM尚未就科羅拉多州事件做出聲明。

MOVEit供應商Progress Software於5月31日公告，MOVEit Transfer的漏洞CVE-2023-34362遭零時差攻擊。之後微軟等安全業者推測是駭客組織Clop所為。

科羅拉多州並非唯一因IBM的MOVEit系統攻擊被波及的州。上周美國密蘇里州社會福利部也公告，6月間接獲IBM通知，該州Medicaid健保計畫會員資訊外洩，類型包括姓名、會員編號、生日、納保範圍及理賠資料。IBM對媒體宣稱MOVEit僅用於IBM顧問服務承攬該州業務的一小部分，當中只有一小部分包含個人資訊。

密蘇里州政府並未公布外洩資料數量。Techcrunch報導，該州約有600萬人口。

IBM是MOVEit軟體駭客攻擊的最新受害者。根據估計，MOVEit攻擊事件受害企業組織將近600家，不乏IT或顧問業者如PwC、Deloitte、Enst & Young、PBI Research Services等。承接美國多州健康與社會保險資料處理的大型IT委外商Maximus，也在7月底通報使用的MOVEit系統發生資安事件，至少有800到1,100萬人的個資，包括社會安全碼及健康資訊遭存取。

伊利諾州則在6月9日公布自己有用MOVEit，並在接獲FBI安全公告後切斷所有連線進行調查，不過該州未公布資料外洩調查結果。