Accellion 数据泄露事件继续变得更加混乱

据悉，摩根士丹利加入了越来越多的Accellion黑客受害者名单——在攻击者首次入侵该供应商已有20年历史的文件共享产品后六个多月。

这家对数据泄露并不陌生的投资银行公司在本周的一封信中证实，攻击者通过侵入其第三方供应商Guidehouse的AccellionFTA服务器窃取了属于其客户的个人信息。在发给受影响者的一封信中，摩根士丹利承认威胁行为者窃取了数量不详的文件，其中包含客户的地址和社会安全号码。

这些文件是加密的，但信中说黑客也获得了解密密钥，尽管摩根士丹利表示这些文件不包含可用于访问客户金融账户的密码。

“保护客户数据至关重要，我们非常重视这一点，”摩根士丹利发言人告诉TechCrunch。“我们与Guidehouse保持密切联系，并正在采取措施减轻客户的潜在风险。”

就在摩根士丹利数据泄露的消息曝光前几天，一家位于阿肯色州的医疗保健提供商证实，由于Accellion攻击，它也遭受了数据泄露。就在此之前的几周，加州大学伯克利分校也是如此。虽然数据泄露的数量往往超过最初报告的数字，但六个多月后组织仍然成为Accellion的受害者这一事实表明，这家商业软件供应商仍未设法处理它。

网络攻击于12月23日首次被发现，Accellion最初声称FTA漏洞在72小时内得到了修补，后来被迫解释说发现了新漏洞。Accellion的下一次（也是最后一次）更新是在3月，当时该公司声称所有已知的FTA漏洞（当局称这些漏洞被FIN11和Clop勒索软件团伙利用）都已得到修复。

但事件响应人员表示，Accellion对事件的反应并不像公司所宣称的那样顺利，声称该公司在对FTA客户的潜在危险发出警报方面行动迟缓。

例如，新西兰储备银行对其从Accellion收到的警报的及时性表示担忧。该银行在一份声明中表示，它依赖Accellion来提醒它注意系统中的任何漏洞——但从未在12月或1月收到任何警告。

“在这种情况下，他们给我们的通知没有离开他们的系统，因此没有在违规之前到达储备银行。我们没有收到预先警告，”新西兰央行行长阿德里安奥尔说。

根据毕马威国际的发现，这是由于Accellion使用的电子邮件工具无法正常工作：“供应商在发现漏洞后不久于2020年12月发布了解决该问题的软件更新。然而，供应商使用的电子邮件工具未能发送电子邮件通知，因此银行直到2021年1月6日才收到通知，”毕马威的评估称。

“我们没有发现供应商通知银行系统漏洞正在被其他客户积极利用的证据。如果及时提供这些信息，很可能会对银行当时做出的关键决策产生重大影响。”

今年3月，当它发布有关持续违规的更新时，Accellion热衷于强调它计划在4月停用已有20年历史的FTA产品，并且它已经工作了三年以将客户过渡到其新产品。平台，风筝工厂。该公司5月份发布的一份新闻稿称，75%的Accellion客户已经迁移到Kiteworks，这一数字也凸显了一个事实，即25%的客户仍坚持使用现已退役的FTA产品。

这一点，再加上Accellion现在对事件采取更加不干涉的态度，意味着受害者名单可能会继续增长。目前尚不清楚到目前为止有多少袭击事件，但最近的统计显示该名单约为300。该名单包括Qualys、庞巴迪、壳牌、新加坡电信、科罗拉多大学、加利福尼亚大学、新南威尔士州交通局、办公室华盛顿州审计员、杂货巨头克罗格和众达律师事务所。

Synopsys网络安全研究中心的首席安全策略师TimMackey告诉TechCrunch：“当针对已被积极利用的软件发布补丁时，简单地修补软件并继续前进并不是最佳途径。”“由于补丁管理的目标是保护系统免遭入侵，补丁管理策略应包括对先前入侵迹象的审查。”