摩根士丹利(Morgan Stanley,NYSE:MS),财经界俗称“大摩”,是一家成立于美国纽约的国际金融服务公司,提供包括证券、资产管理、企业合并重组和信用卡等多种金融服务,目前在全球27个国家的600多个城市有代表处,雇员总数达6万多人。

2008年9月,更改公司注册地位为“银行控股公司”。

2017年6月7日,2017年《财富》美国500强排行榜发布,摩根士丹利排名第76位。2018年7月19日,《财富》世界500强排行榜发布,摩根士丹利位列249位。2018年12月18日,世界品牌实验室编制的《2018世界品牌500强》揭晓,摩根士丹利排名第55位。2019年7月,发布2019《财富》世界500强:位列218位。2019年10月,Interbrand发布的全球品牌百强榜排名69。

最近这家投资银行公司报告称,攻击者通过入侵第三方供应商的 Accellion FTA 服务器窃取了属于其客户的个人信息,导致数据泄露。

本文翻译自bleepingcomputer.com在2021 年 7 月 8 日 发布的一篇文章,作者Sergiu Gatlan,由Kenson Wu整理并翻译,译文全文如下:

加密文件连同解密密钥一起被盗

Guidehouse 是一家为摩根士丹利的 StockPlan Connect 业务提供账户维护服务的第三方供应商,它于 2021 年 5 月通知这家投资银行公司,攻击者入侵了其 Accellion FTA 服务器,以窃取属于摩根士丹利股票计划参与者的信息。

Accellion FTA是一个已有20年历史的产品,专门从事大型文件传输。Accellion总结道:“尽管Accellion对其旧版的FTA产品保持严格的安全标准,但我们强烈鼓建议客户更新到现代企业内容防火墙平台kiteworks,以获得最高水平的安全性。”

Guidehouse 服务器在2021年 1 月份因被黑客利用 Accellion FTA 漏洞而遭到破坏,Guidehouse 于2021年 3 月发现了这一漏洞,然后供应商在修复程序可用的五天内对其进行了打补丁。并于 5 月发现了对摩根士丹利客户的影响,当时它将该事件通知了金融服务公司,并且没有发现被盗数据被黑客在线传播的证据。

“摩根士丹利的任何应用程序都没有数据安全漏洞,”摩根士丹利在发送给受影响个人的数据泄露通知信中说。“该事件涉及Guidehouse拥有的文件,包括来自摩根士丹利的加密文件。”

然而,即使被盗文件以加密形式存储在受感染的 Guidehouse Accellion FTA 服务器上,攻击者也在攻击过程中获得了解密密钥。

摩根士丹利说,在这次事件中被盗的文件包括:

  • 股票计划参与者姓名

  • 地址(最后知道的地址)

  • 出生日期

  • 社会安全号码

  • 法人公司名称

该公司补充说,从 Guidehouse 的 FTA 服务器中窃取的文件不包含账号或密码,攻击者可以使用这些信息或账号密码来访问受影响的摩根士丹利客户的金融账户。

“保护客户数据至关重要,我们非常重视这一点,”摩根士丹利发言人告诉媒体。“我们与 Guidehouse 保持密切联系,并正在采取措施减轻客户的潜在风险。”

Clop gang 和 FIN11 背后的一系列 Accellion 黑客攻击

虽然摩根士丹利的数据泄露通知中没有披露黑客的身份,但 Accellion 和 Mandiant 2 月份发布的联合声明对这些攻击提供了更多信息,将他们与 FIN11 网络犯罪组织直接联系起来。Clop 勒索软件团伙还利用 Accellion FTA 零日漏洞(于 2020 年 12 月披露)从多家公司窃取数据。

Accellion 表示,大约有 300 名客户使用了已有 20 年历史的旧版 FTA 软件,其中不到 100 名在这些攻击中遭到破坏。

从2021年 1 月开始,媒体报告了多起影响公司的数据泄露事件,因为他们的 Accellion FTA 服务器遭到入侵,这使得网络犯罪集团能够泄露敏感信息。到目前为止,黑客已经攻击了能源巨头壳牌、网络安全公司 Qualys、新西兰储备银行、新加坡电信、超市巨头克罗格、华盛顿州审计员办公室 (“SAO”)、澳大利亚证券和投资委员会 (ASIC) ),以及多所大学和其他组织。

摩根史丹利不是第一次了

因2016年和2019年的2次网络事件,摩根士丹利遭受集体诉讼

其他行业的视角

正如总部位于美国的AI驱动网络保险提供商Cowbell Cyber的创始人兼首席执行官Jack Kudale说: “我们还看到供应链风险正变得更大,正如最近的SolarWinds黑客和Microsoft Exchange Server攻击所证明的那样。由于2020年的勒索软件攻击浪潮,网络犯罪和其他威胁,保单持有人应该在保单到期续保时被问到更多问题。”

2020年底的SolarWinds攻击说明了网络安全面临的风险。它显示了国家支持的黑客存在潜在影响,该恶意软件更新影响了多达18,000家公司,其中包括多个美国政府机构。这次攻击暴露了技术的相互联系以及对少数关键供应商的依赖。迄今为止,似乎动机是间谍而不是犯罪,尽管此事件的财务后果仍不清楚,但它为将来发生了什么提供了一个窗口。攻击面继续急剧增加,这种趋势将在2021年加速。这将突出显示供应链中的漏洞,这是跨多个行业使用的无处不在的软件。与以往一样,任何网络中最薄弱的地方将成为自动攻击的切入点。

德勤(Deloitte)的一项民意调查显示,有70%的受访者承认高度或中等程度地依赖外部供应链。总体而言,这种依赖性似乎正在增长,但是受访者声称几乎没有甚至没有选择来应对由其引起的威胁。

供应商评估流程建议

在评估与第三方供应商相关的风险时,企业需要考虑三个要点:数据保护,侵犯隐私和尊重消费者数据。

1.数据保护

数据保护由供应商实施的保护过程组成,以保护其收集,处理和共享的数据。其中大多数涉及保护数据免遭滥用,并确保所有程序均遵守现行法规。这里涉及的一些风险如下:

  • 数据收集:分析供应商数据收集过程中的风险,包括通知消息的丰富性,其中应包括收集数据的原因和收集的个人数据的类别。

  • 数据存储:评估与供应商的数据存储和数据保留功能有关的风险,以了解它们在保持敏感数据安全性方面的有效性。分析的关键功能应包括传输级加密,静态加密,访问控制机制等。

  • 数据共享:SaaS,IaaS和PaaS供应商可以获得有关其用户的大量信息。所有这些详细信息都可能被错误地使用。例如,它们可能会意外泄漏。它们也可以出售给其他第三方。最后,它们可能会被滥用。审查并识别供应商如何使用或获利数据非常重要。要分析的其他关键风险因素是纳入合同和协议以收集和出售个人身份信息的财务动机。

2.侵犯隐私权

反映供应商隐私健康状况的一个好指标是,监管机构罚款的事件数量或供应商遭受的数据泄露数量。几乎没有发生过数据泄露的事件表明安全的态势良好。公司有责任筛选代表他们处理数据的可靠供应商。

3.尊重消费者的数据

满足客户对其收集/处理的数据的数据请求的能力是其隐私程序成熟度的良好指标。负责任的供应商将隐私最佳做法纳入其设计和开发流程。这些品质对企业而言具有重要的运营价值。评估供应商处理消费者数据请求的能力是供应商评估的重要组成部分。

在没有自动化帮助的情况下分析所有这些步骤可能是一项漫长而乏味的任务,需要花费大量的人力和物力,同时还会增加人为错误的风险。像这样细致的任务最好通过自动化来完成。自动化将帮助企业迅速完成评估流程并保持合规性,从而为最重要的领域释放资源。随着时间的流逝和法律越来越严格,自动化将是唯一的前进之路。

声明:本文来自CyberRisk赛伯瑞斯克,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。