Door een beveiligingslek bij cloudprovider Accellion zijn de gegevens van 1,6 miljoen inwoners van de Amerikaanse staat Washington gestolen, zo laat het Office of the Washington State Auditor (rekenkamer) weten. Eerder werden ook Australische en Nieuw-Zeelandse overheidsinstanties slachtoffer van de aanval.

Accellion biedt een oplossing voor het uitwisselen van bestanden. Een kwetsbaarheid in deze dienst maakte het eind december voor een aanvaller mogelijk om toegang te krijgen tot bestanden van klanten. Hoewel de aanval eind december plaatsvond werd de rekenkamer van de staat Washington vorige week door Accellion ingelicht dat het ook slachtoffer van de aanval was geworden.

De aanvaller kreeg daarbij toegang tot databestanden van lokale overheden en staatsinstanties, waaronder het ministerie van sociale zaken en werkgelegenheid van Washington. Het gaat dan onder andere om informatie over mensen die een werkloosheidscompensatie aanvroegen, zoals naam, socialsecuritynummer, rijbewijs- of staatsidentificatienummer, bankrekeningnummer en werkgever.

"Ik wil duidelijk maken dat dit een aanval op een externe serviceprovider was. Het ministerie van sociale zaken en werkgelegenheid heeft dit niet veroorzaakt en is op geen enkele wijze aansprakelijk voor het incident", aldus Pat McCarthy, hoofd van de rekenkamer.

Eerder lieten ook de centrale bank van Nieuw-Zeeland en de Australian Securities and Investments Commission (ASIC) weten dat ze slachtoffer van de aanval op Accellion waren geworden. Accellion heeft in een verklaring laten weten dat de bestandsuitwisselingsdienst door een "geraffineerde aanval" is getroffen. Details waaruit blijkt dat het om een complexe aanval gaat zijn echter niet gegeven. Ruim veertig klanten van het bedrijf werden slachtoffer van de aanval.