HPE comienza a comunicarse con las víctimas del ciberataque ruso de 2023.
Se están notificando a las personas afectadas por el incidente de la tormenta de nieve de medianoche ocurrido en mayo de 2023.
Hewlett Packard Enterprise (HPE) ha comenzado a enviar cartas de notificación a las personas afectadas por la violación de datos ocurrida en 2023. Hasta ahora, se ha informado que al menos una docena de individuos han recibido estas cartas, de acuerdo con un análisis de las notificaciones registradas ante dos fiscales generales de estados estadounidenses.
La empresa comunicó que su sistema de tecnología de la información fue vulnerado por actores de amenaza patrocinados por el estado ruso, conocidos como Midnight Blizzard. Este ataque, ocurrido en 2023, resultó en el robo de información sensible de los correos electrónicos de sus empleados. En un informe presentado a la Comisión de Bolsa y Valores de Estados Unidos, HPE indicó que la intrusión se inició a mediados de mayo de 2023 y fue detectada el 12 de diciembre del mismo año.
La investigación reveló que Midnight Blizzard, también conocido como Cozy Bear o Nobelium, tuvo acceso a "un pequeño porcentaje" de las bandejas de entrada en la nube de HPE. Informes recientes sugieren que los atacantes accedieron a números de Seguro Social, información de licencias de conducir y números de tarjetas de crédito, entre otros datos.
HPE explicó que los atacantes utilizaron una cuenta comprometida para acceder a los correos internos de la empresa en su entorno de Office 365. La compañía señaló que las cuentas afectadas pertenecían a empleados en las áreas de ciberseguridad, comercialización y otras divisiones de negocio. La cifra exacta de afectados no ha sido confirmada, pero HPE señala que la información violada es “limitada a la contenida en las bandejas de entrada de los usuarios”, sugiriendo que el número total de las personas involucradas es relativamente pequeño.
A pesar de la violación, HPE considera que el ataque no tendrá un impacto material en la compañía ni en sus operaciones. La empresa declaró que después de una evaluación, determinaron que esta actividad no tuvo un efecto material en el funcionamiento de la compañía y que no espera que afecte significativamente su condición financiera o los resultados operativos.
