摩根史坦利因IT服務商牽連被駭　企業客戶資料外洩

知名金融業者摩根史坦利(Morgan Stanley)報導，年初由於第三方服務商被駭，導致摩根史坦利部份企業客戶個資於今年一月時遭到外洩。

摩根史坦利在7月2日以電子郵件通知受影響的客戶。遭到竊取的資料包括客戶的社會安全號碼、姓名、住家地址、出生日期及公司名等。

提供摩根史坦利StockPlan提供帳號維護服務的第三方廠商Guidehouse 5月告知這起事件。攻擊者是利用Guidehouse所使用的Accellion FTA檔案傳輸服務的漏洞駭入其系統。雖然Accellion 5天內即已修補漏洞，但攻擊者已經取得解密金鑰，因此資料即使加密也無法阻撓資料曝光。

不過Guidehouse未透露Accellion的是漏洞為何。去年底Accellion FTA裝置一項漏洞遭到駭客開採零時差漏洞。Accellion補好一個漏洞後，駭客卻仍舊開採其他漏洞，並在Accellion 網路內存取用戶的資料，再以Clop勒索軟體加密勒索。Accellion FTA客戶有300家，包括荷蘭皇家殼牌石油、Qualys、航太業者Bombardier、律師事務所Jones Day等。消息在今年一月爆發，引發企業譁然。媒體報導，約有50家受此事件牽連。

Guidehouse告知摩根史坦利，沒有證據顯示被竊走的資料被放上網路散佈。

消息人士指出，這批資料已經復原，他們正在監控有沒有客戶料被上暗網的情形。摩根史坦利也已為這些客戶提供免費的24個月信用監控服務業者，以防個資濫用。

來源：路透社、Silicon Angle