Accellion数据泄露事件继续变得更加混乱

摩根士丹利加入了越来越多的Accellion黑客受害者名单——在攻击者首次入侵该供应商已有 20 年历史的文件共享产品后六个多月。

这家对数据泄露并不陌生的投资银行公司在本周的一封信中证实，攻击者通过侵入其第三方供应商 Guidehouse 的 Accellion FTA 服务器窃取了属于其客户的个人信息。在发给受影响者的一封信中，摩根士丹利承认威胁行为者窃取了数量未知的包含客户地址和社会安全号码的文件，该信函首先由Bleeping Computer报道。

这些文件是加密的，但信中说黑客也获得了解密密钥，尽管摩根士丹利表示这些文件不包含可用于访问客户金融账户的密码。

“保护客户数据至关重要，我们非常重视这一点，”摩根士丹利发言人告诉 TechCrunch。“我们与 Guidehouse 保持密切联系，并正在采取措施减轻客户的潜在风险。”

就在摩根士丹利数据泄露的消息曝光前几天，一家位于阿肯色州的医疗保健提供商证实，由于 Accellion 攻击，它也遭受了数据泄露。就在此之前的几周，加州大学伯克利分校也是如此。虽然数据泄露的数量往往超过最初报告的数字，但六个多月后组织仍然成为 Accellion 的受害者这一事实表明，这家商业软件供应商仍未设法处理它。

网络攻击于 12 月 23 日首次被发现，Accellion 最初声称 FTA 漏洞在 72 小时内得到了修补，后来被迫解释说发现了新漏洞。Accellion 的下一次(也是最后一次)更新是在 3 月，当时该公司声称所有已知的 FTA 漏洞(当局称这些漏洞被 FIN11 和 Clop勒索软件团伙利用)都已得到修复。

但事件响应人员表示，Accellion 对事件的反应并不像公司所宣称的那样顺利，声称该公司在对 FTA 客户的潜在危险发出警报方面行动迟缓。

例如，新西兰储备银行对其从 Accellion 收到的警报的及时性表示担忧。该银行在一份声明中表示，它依赖 Accellion 来提醒它注意系统中的任何漏洞——但从未在 12 月或 1 月收到任何警告。

“在这种情况下，他们给我们的通知没有离开他们的系统，因此没有在违规之前到达储备银行。我们没有收到预先警告，”新西兰央行行长阿德里安奥尔说。

根据毕马威国际的发现，这是由于 Accellion 使用的电子邮件工具无法正常工作：“供应商在发现漏洞后不久于 2020 年 12 月发布了解决该问题的软件更新。然而，供应商使用的电子邮件工具未能发送电子邮件通知，因此银行直到 2021 年 1 月 6 日才收到通知，”毕马威的评估称。

“我们没有发现供应商通知银行系统漏洞正在被其他客户积极利用的证据。如果及时提供这些信息，很可能会对银行当时做出的关键决策产生重大影响。”

今年 3 月，当它发布有关持续违规的更新时，Accellion 热衷于强调它计划在 4 月停用已有 20 年历史的 FTA 产品，并且它已经工作了三年以将客户过渡到其新产品。平台，风筝工厂。该公司 5 月份发布的一份新闻稿称，75% 的 Accellion 客户已经迁移到 Kiteworks，这一数字也凸显了一个事实，即 25% 的客户仍坚持使用现已退役的 FTA 产品。

这一点，再加上 Accellion 现在对事件采取更加不干涉的态度，意味着受害者名单可能会继续增长。目前尚不清楚到目前为止有多少袭击事件，但最近的统计显示该名单在 300 左右。该名单包括 Qualys、庞巴迪、壳牌、新加坡电信、科罗拉多大学、加利福尼亚大学、新南威尔士州交通局、办公室华盛顿州审计员、杂货巨头克罗格和众达律师事务所。

Synopsys 网络安全研究中心的首席安全策略师 Tim Mackey 告诉 TechCrunch：“当针对已被积极利用的软件发布补丁时，简单地修补软件并继续前进并不是最佳途径。”“由于补丁管理的目标是保护系统免遭入侵，补丁管理策略应包括对先前入侵迹象的审查。”