Bij de wereldwijde ransomware-aanval waarbij gebruik is gemaakt van een zerodaylek in MOVEit Transfer zijn de identiteitsgegevens van miljoenen Amerikanen gestolen. Het ministerie van Transport van de Amerikaanse staat Oregon meldt dat de persoonlijke gegevens van 3,5 miljoen inwoners van de staat zijn buitgemaakt. Het gaat daarbij om informatie die op identiteitsbewijzen of rijbewijzen staat. De Amerikaanse staat Louisiana heeft een soortgelijke waarschuwing gegeven.

MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De Clop-ransomwaregroep zou sinds 2021 over een kwetsbaarheid hebben beschikt waarmee het mogelijk is om MOVEit-servers te infecteren en data te stelen. Tijdens het Memorial Day weekend in de Verenigde Staten vorige maand vond er grootschalig misbruik van het lek plaats. Voor dit beveiligingslek, aangeduid als CVE-2023-34362, kwam Progress eind mei met een update.

Het ministerie van Transport van Oregon maakt sinds 2015 gebruik van MOVEit Transfer voor het uitwisselen van bestanden. Na de waarschuwing voor de aanval besloot het ministerie het systeem te beveiligen. Op 12 juni werd vastgesteld dat de gegevens van 3,5 miljoen inwoners van de staat zijn gestolen. "Een deel daarvan is gevoelige persoonlijke informatie", aldus een verklaring.

De Amerikaanse staat Louisiana meldt dat het ook door de aanval is getroffen. Het gaat dan specifiek om het Office of Motor Vehicles (OMV). Alle inwoners van de staat die een door de staat uitgegeven rijbewijs, identiteitsbewijs of autoregistratie hebben, moet ervan uitgaan dat hun gegevens zijn gestolen. Het gaat onder andere om naam, adresgegevens, social-securitynummer, geboortedatum, lengte, kleur van ogen, rijbewijsnummer, voertuigregistratiegegevens en informatie in het geval van een handicap.

De lijst met getroffen organisaties wordt steeds langer. Gisteren werd bekend dat ook Shell één van de getroffen organisaties is. Eerder maakten de BBC, de Britse apothekersketen Boots, British Airways, de Britse toezichthouder Ofcom en Transport for London melding van een datalek als gevolg van de aanval. Landal GreenParks waarschuwde 12.000 gasten voor een mogelijk datalek. Daarnaast zijn ook Amerikaanse federale overheidsinstanties, de Amerikaanse staten Missouri en llinois, het American Board of Internal Medicine en Extreme Networks slachtoffer geworden. De criminelen achter de Clop-ransomware zijn inmiddels op hun eigen website begonnen met het noemen van de namen van slachtoffers.