Sony Interactive Entertainment (Sony) ha notificado a empleados actuales y anteriores y a sus familiares sobre una violación de ciberseguridad que expuso información personal.
La empresa envió la notificación de violación de datos a unas 6.800 personas, confirmando que la intrusión se produjo después de que una parte no autorizada explotara una vulnerabilidad de día cero en la plataforma MOVEit Transfer.
El día cero es CVE-2023-34362, una falla de inyección SQL de gravedad crítica que conduce a la ejecución remota de código, aprovechada por el ransomware Clop en ataques a gran escala que comprometieron a numerosas organizaciones en todo el mundo.
La banda de ransomware Clop añadió a Sony Group a su lista de víctimas a finales de junio. Sin embargo, la firma no se ha pronunciado públicamente hasta ahora. Sony se agregó a la lista de víctimas del ransomware Clop a finales de junio
Según la notificación de violación de datos, el compromiso ocurrió el 28 de mayo, tres días antes de que Sony se enterara de la falla por medio de Progress Software (el proveedor de MOVEit), pero se descubrió a principios de junio.
Sony afirma que el incidente se limitó a una plataforma de software en particular y no tuvo impacto en ninguno de sus otros sistemas.
Aún así, se vio comprometida información confidencial perteneciente a 6.791 personas en los EE. UU. La firma determinó individualmente los detalles expuestos y los enumeró en cada carta individual, pero está censurado en la muestra de notificación enviada a la Oficina del Fiscal General de Maine.
A los destinatarios de la notificación ahora se les ofrecen servicios de monitoreo de crédito y restauración de identidad a través de Equifax, a los que pueden acceder utilizando su código único hasta el 29 de febrero de 2024.