摩根史坦利因IT服務商牽連被駭 企業客戶資料外洩
知名金融業者摩根史坦利(Morgan Stanley)報導,年初由於第三方服務商被駭,導致摩根史坦利部份企業客戶個資於今年一月時遭到外洩。
摩根史坦利在7月2日以電子郵件通知受影響的客戶。遭到竊取的資料包括客戶的社會安全號碼、姓名、住家地址、出生日期及公司名等。
提供摩根史坦利StockPlan提供帳號維護服務的第三方廠商Guidehouse 5月告知這起事件。攻擊者是利用Guidehouse所使用的Accellion FTA檔案傳輸服務的漏洞駭入其系統。雖然Accellion 5天內即已修補漏洞,但攻擊者已經取得解密金鑰,因此資料即使加密也無法阻撓資料曝光。
不過Guidehouse未透露Accellion的是漏洞為何。去年底Accellion FTA裝置一項漏洞遭到駭客開採零時差漏洞。Accellion補好一個漏洞後,駭客卻仍舊開採其他漏洞,並在Accellion 網路內存取用戶的資料,再以Clop勒索軟體加密勒索。Accellion FTA客戶有300家,包括荷蘭皇家殼牌石油、Qualys、航太業者Bombardier、律師事務所Jones Day等。消息在今年一月爆發,引發企業譁然。媒體報導,約有50家受此事件牽連。
Guidehouse告知摩根史坦利,沒有證據顯示被竊走的資料被放上網路散佈。
消息人士指出,這批資料已經復原,他們正在監控有沒有客戶料被上暗網的情形。摩根史坦利也已為這些客戶提供免費的24個月信用監控服務業者,以防個資濫用。
來源:路透社、Silicon Angle