Egy évvel az incidens után Georgia állam felsőoktatási kormányzati szerve beismerte, hogy a rendszereiket érintő támadásban 800 ezer tanuló és dolgozó adatai voltak érintettek.
A University System of Georgia (USG) – amely 26 felsőoktatási intézetet foglal magában – a 2023. május 31-i incidenst május 7-én továbbította Maine állam főügyészének is. Az áldozatoknak küldött levélben az USG kifejtette, hogy ez a jogsértés csak egy volt a tavalyi év során, amit a Cl0p bandának tulajdonítanak, és amely a Progress Software MOVEit MFT eszköz – azóta már javított – hibájának kihasználásához köthető.
A támadók által megszerzett adatok között szerepel az áldozatok társadalombiztosítási száma (angolul social security number, azaz SSN), vagy annak utolsó 4 számjegye, a születési idejük, bankszámlaszámaik, illetve szövetségi jövedelemadó dokumentumaik az adóazonosító számaikkal. A kapcsolatfelvétel Maine állammal arra utalhat, hogy jogosítványadatokat is érinthetett a támadás.
Az áldozatokat csak idén április 15-én kezdték el először kiértesíteni a támadásokról, illetve azok részleteiről. Csak néhány állam rendelkezik olyan platformmal, amely publikussá teszi ezeket az bejelentéseket – Georgia államban nincs, de Kalifornia ilyen jellegű portálja szerint az USG ugyan ezt az incidenst már kicsit korábban, március 28-án is jelentette. Az USA-ban nincs a GDPR-hoz hasonló szabályozás, így nincs megadva határidő, hogy támadás esetén mennyi időn belül kell a lehetséges áldozatokat kiértesíteni – tehát az USG nem járt el jogellenesen, nem kell büntetésre számítania.
Kárpótlásként az áldozatok 12 hónapos hitelfelügyeletet kaptak az Experian hitelinformációs ügynökségtől, illetve egy USG által kiadott bocsánatkérő üzenetet.
Az Emisoft nevű biztonsági cég a támadás felismerése óta nyomon követi az áldozatok számát, illetve a sérülékenység (CVE-2023-34362) MOVEit kihasználásának mértékét: jelenleg nagyjából 2771 szervezetről, és kicsit kevesebb mint 95 millió személyről tudnak. Még olyan nagy cégek, mint a BBC és a British Airways is érintettek voltak, attól függetlenül, hogy a támadások főleg Észak-Amerikára koncentrálódtak: a leginkább érintett vállalkozások a Maximus kormányzati szerv és az egészségügyi SaaS szolgáltatásokat nyújtó Welltok vállalat, amelyek 11,3 illetve 10 millió ember adatait veszítették el.
