A Sony Interactive Entertainment (Sony) notificou cerca de 6.800 funcionários atuais e antigos, bem como seus familiares, sobre uma violação de segurança cibernética que expôs informações pessoais.
A empresa confirmou que a intrusão ocorreu após uma parte não autorizada explorar uma vulnerabilidade zero-day na plataforma MOVEit Transfer. A vulnerabilidade em questão é a CVE-2023-34362, uma falha crítica de injeção SQL que permite a execução remota de código. O grupo de ransomware conhecido como Clop foi responsável por usar essa vulnerabilidade em ataques em grande escala, comprometendo várias organizações em todo o mundo.
De acordo com a notificação de violação de dados, a invasão ocorreu em 28 de maio, três dias antes da Sony ser informada pela Progress Software, fornecedora do MOVEit, sobre a falha. No entanto, a descoberta da vulnerabilidade só ocorreu no início de junho. A empresa imediatamente tomou medidas para remediar a situação, retirando a plataforma do ar e corrigindo a vulnerabilidade. Além disso, uma investigação foi iniciada com a assistência de especialistas externos em cibersegurança, e as autoridades policiais foram notificadas sobre o incidente.
Embora a Sony afirme que o incidente se limitou à plataforma de software específica e não afetou seus outros sistemas, informações sensíveis de 6.791 pessoas nos Estados Unidos foram comprometidas. A empresa determinou individualmente as informações expostas e as listou em cada carta enviada aos afetados. A Sony também está oferecendo serviços de monitoramento de crédito e restauração de identidade através da Equifax, que podem ser acessados utilizando um código único até 29 de fevereiro de 2024.
No mês passado, surgiram alegações em fóruns de hackers de que a Sony havia sido alvo de outro ataque cibernético, resultando no roubo de 3,14 GB de dados dos sistemas da empresa. A Sony confirmou que está investigando essas alegações e afirmou que identificou atividades suspeitas em um servidor usado para testes internos no ramo de Entretenimento, Tecnologia e Serviços (ET&S).
A empresa tomou medidas imediatas, retirando o servidor do ar durante a investigação. Não há evidências de que dados de clientes ou parceiros de negócios tenham sido armazenados no servidor afetado ou que outros sistemas da Sony tenham sido comprometidos.