当地时间7月8日,投资银行公司摩根士丹利(Morgan Stanley)披露称,黑客通过入侵第三方供应商Guidehouse的Accellion FTA 服务器窃取了部分客户的个人信息,导致数据泄露。
摩根士丹利,财经界俗称“大摩”,是一家成立于美国纽约的国际金融服务公司,在全球范围内提供投资银行、证券、财富和投资管理服务。目前这家美国跨国公司的客户包括超过41个国家的公司、政府、机构和个人。
Guidehouse公司是一家为摩根士丹利的StockPlan Connect业务提供账户维护服务的第三方供应商。该公司2021年5月通知摩根士丹利,攻击者入侵了其Accellion FTA服务器,窃取了摩根士丹利股票投资计划参与者的信息。
今年1月份,Guidehouse服务器因Accellion FTA漏洞遭到破坏,虽然在5天内修补了该漏洞,但期间不排除攻击者已窃取了数据。
今年3月份,Guidehouse公司获悉了该事件,并在5月份发现了对摩根士丹利客户的影响,但当时并未发现被盗数据在网上泄露的证据。
虽然被盗文件是以加密的形式存储在受感染的Guidehouse Accellion FTA服务器上,但攻击者在攻击过程中也获得了解密密钥。
摩根士丹利表示他们非常重视保护客户的数据, 目前正与Guidehouse公司保持密切联系,并正在采取措施最大程度地降低客户的潜在风险。
摩根士丹利在发送给受影响者的通知函中表示,摩根士丹利的任何应用程序都没有出现数据安全漏洞,此次事件涉及Guidehouse拥有的文件,其中包括来自摩根士丹利的加密文件。
摩根士丹利表示,攻击者在此次事件中盗取的数据资料包括:参与股票投资计划人员的姓名、地址(最后的已知地址)、出生日期、社会保障号码、公司名称等,但不包含密码信息或是凭证。因此,攻击者应该无法借助窃取的资料访问受影响的摩根士丹利客户的金融账户。
(一)事件的发生时间
根据摩根士丹利的公告,Guidehouse服务器资料外泄的时间应该是在2021年1月份。
在整个供应链攻击行动中,网络安全公司Accellion从2020年12月到2021年3月,多次发布修补程序。其中,他们在1月25日,针对CVE-2021-27102与CVE-2021-27103漏洞,推出FTA的9.12.416版本补丁进行修补。而根据摩根士丹利的通报,Guidehouse服务器是在因Accellion FTA漏洞遭到破坏后的5天内修补了漏洞,由此推断,Guidehouse的服务器很可能是在1月20日左右遭到入侵。
(二)事件的幕后黑手可能是FIN11和Clop
尽管摩根士丹利在数据泄露通知函中没有透露攻击者的身份,但FireEye旗下网络安全公司Mandiant和网络安全公司Accellion在今年2月份发布的联合声明中,将此类攻击事件与FIN11网络犯罪组织直接联系起来。
另外,Clop勒索软件团伙也一直在利用Accellion FTA的“零日漏洞”(在2020年12月中旬披露)来攻击和窃取多家企业的数据。
据Bleeping Computer报告称,针对Accellion FTA的攻击导致了多个组织受到影响,包括能源巨头壳牌、网络安全公司Qualys、新西兰储备银行、澳大利亚证券和投资委员会(ASIC)、新加坡电信、美国超市巨头克罗格(Kroger)、澳大利亚QIMR Berghofer医学研究所和华盛顿审计师办公室(SAO)以及多所大学和其他组织。
(三)数据泄露原因是Accellion FTA软件漏洞
网络安全公司Accellion表示,自2021年1月开始,已经有多家大型企业和组织因Accellion FTA服务器遭到入侵而发生敏感数据泄漏事件。
大约有300位客户还在使用20年前的旧版FTA软件,其中有近100位客户遭到Clop勒索软件恶意团伙和FIN11恶意组织的攻击,近25名受害者遭遇了严重的数据泄露事件。
通过技术手段复查,技术人员发现Accellion FTA这个文件共享平台的多个历史版本都存在漏洞,具有被用于针对性攻击的风险。
Accellion 公司同时表示,避免攻击的最好方法仍然是安装 Accellion FTA 的最新版本。
2015年1月,摩根士丹利一名雇员因窃取银行部分财富管理客户的数据并将之公布于众而被解雇。该员工名叫Galen Marsh,在摩根士丹利位于纽约市中心的曼哈顿分部工作,是一位财富管理业务经纪人。他利用职务之便,窃取了公司35万个客户账户信息,并将部分信息放于网络售卖。事后,摩根士丹利在声明中指出,在2014年12月27日约有900名客户的信息被短暂地公布在网络上,包括客户的姓名、电话号码、住址和资产状况等,公司已采取措施将其删除,目前没有证据显示任何客户因此遭受经济损失,且被窃的资料不包括客户账户密码和社保号码等敏感信息。
2020年10月,美国货币监理署对摩根士丹利公司旗下两家银行——摩根士丹利银行和摩根士丹利私人银行处以 6000 万美元的民事罚款,原因是 2016 年摩根士丹利未能对这两家商业数据中心的停用清退过程进行有效监管,可能有导致客户信息泄露的风险。货币监理署认为,摩根士丹利在数据中心停用清退过程中,未能有效评估或解决与硬件停用相关的风险;未能充分评估将停用工程分包出去的风险,包括在选择供应商和监测其业绩方面进行充分的尽职调查;未能正确处置存储在待清退硬件设备上的库存数据。
加上此次数据泄露事件,摩根士丹利近年来已经发生了3次数据泄露事件。显然,这3次事件数据泄露的原因各不相同。第1次是由于“内鬼”造成的数据泄露;第2次是由于监管不力而面临数据泄露的风险;而第3次则是由于第三方供应商服务器的Accellion FTA漏洞导致的数据泄露。
作为国际顶级金融服务公司,数据对于公司来说私密且重要。黑客抓住这类行业的特点,寻找薄弱环节进行攻击。面对愈发频繁的网络攻击,尽管多数企业都采取了不同程度的安全防御措施,但网络的安全性其实取决于其最薄弱的环节。这就意味着公司要想保证自己的数据安全,除了应用传统数据安全防护手段进行数据保护之外,还应对误认为绝不会出错的存储数据的系统进行加固。
