Bij een zeroday-aanval op de MOVEit Transfer-server van de Amerikaanse dienstverlener Maximus zijn de persoonlijke gegevens van 8 tot 11 miljoen personen gestolen. Het bedrijf verwacht dat de kosten van de aanval op 15 miljoen dollar zullen uitkomen. Het totaal aantal organisaties dat slachtoffer van de wereldwijde MOVEit-aanval werd is inmiddels gestegen naar 513, waarbij de gegevens van bijna 35 miljoen personen zijn buitgemaakt.

MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van honderden organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te zullen publiceren.

Maximus is een Amerikaanse dienstverlener die wereldwijd allerlei overheidsprogramma's beheert en uitvoert, zoals sociale verzekeringen en studentenleningen. Het bedrijf telt meer dan 39.000 medewerkers en had vorig jaar een omzet van 4,25 miljard dollar. Maximus is onder andere actief in Australië, de Verenigde Staten, Canada, Italië, Saudi-Arabië, Singapore, Zuid-Korea, Zweden en het Verenigd Koninkrijk.

In een melding aan de Amerikaanse beurswaakhond SEC meldt het bedrijf dat het eind mei slachtoffer van de MOVEit-aanval is geworden en daarbij de persoonlijke informatie van 8 tot 11 miljoen personen is gestolen. Het gaat onder andere om social-securitynummers, gezondheidsgegevens en andere persoonlijke informatie. Gedupeerden krijgen gratis kredietmonitoring aangeboden. Volgens antivirusbedrijf Emsisoft is het aantal door de aanval getroffen organisaties inmiddels gestegen naar 513, waarbij de Clop-groep gegevens van 34,6 miljoen individuen in handen heeft gekregen.