摩根史坦利因 IT 服務商牽連被駭　企業客戶資料外洩

知名金融業者摩根史坦利 (Morgan Stanley) 報導，年初由於第三方服務商被駭，導致摩根史坦利部份企業客戶個資於今年一月時遭到外洩。

摩根史坦利在 7 月 2 日以電子郵件通知受影響的客戶。遭到竊取的資料包括客戶的社會安全號碼、姓名、住家地址、出生日期及公司名等。

提供摩根史坦利 StockPlan 提供帳號維護服務的第三方廠商 Guidehouse 5 月告知這起事件。攻擊者是利用 Guidehouse 所使用的 Accellion FTA 檔案傳輸服務的漏洞駭入其系統。雖然 Accellion 5 天內即已修補漏洞，但攻擊者已經取得解密金鑰，因此資料即使加密也無法阻撓資料曝光。

不過 Guidehouse 未透露 Accellion 的是漏洞為何。去年底 Accellion FTA 裝置一項漏洞遭到駭客開採零時差漏洞。Accellion 補好一個漏洞後，駭客卻仍舊開採其他漏洞，並在 Accellion 網路內存取用戶的資料，再以 Clop 勒索軟體加密勒索。Accellion FTA 客戶有 300 家，包括荷蘭皇家殼牌石油、Qualys、航太業者 Bombardier、律師事務所 Jones Day 等。消息在今年一月爆發，引發企業譁然。媒體報導，約有 50 家受此事件牽連。

Guidehouse 告知摩根史坦利，沒有證據顯示被竊走的資料被放上網路散佈。

消息人士指出，這批資料已經復原，他們正在監控有沒有客戶料被上暗網的情形。摩根史坦利也已為這些客戶提供免費的 24 個月信用監控服務業者，以防個資濫用。

來源：路透社、Silicon Angle