杯具！去年刚被罚4亿，今年再次承认数据泄露

投资银行公司摩根士丹利近日发布报告称，攻击者通过入侵第三方供应商的 Accellion FTA 服务器窃取了属于其客户的个人信息，导致数据泄露。

摩根士丹利是一家领先的全球金融服务公司，在全球范围内提供投资银行、证券、财富和投资管理服务。这家美国跨国公司的客户包括超过41个国家的公司、政府、机构和个人。

加密文件连同解密密钥一起被盗

Guidehouse是一家为摩根士丹利的 StockPlan Connect业务提供账户维护服务的第三方供应商，于2021年5月通知这家投资银行公司，攻击者入侵了其 Accellion FTA服务器，以窃取属于摩根士丹利股票计划参与者的信息。

Guidehouse服务器在1月份因被利用Accellion FTA漏洞而遭到破坏，之后供应商在修复程序可用后的五天内对其进行了修补。

Guidehouse于3月发现了这一漏洞，并于5月发现了对摩根士丹利客户的影响，当时它将事件通知了金融服务公司，并且没有发现被盗数据是由威胁行为者在线传播的证据。

“摩根士丹利的任何应用程序都没有数据安全漏洞，”摩根士丹利在发送给受影响个人的数据泄露通知信中说。“该事件涉及Guidehouse拥有的文件，包括来自摩根士丹利的加密文件。”

然而，即使被盗文件以加密形式存储在受感染的 Guidehouse Accellion FTA服务器上，攻击者也在攻击过程中获得了解密密钥。

摩根士丹利说，在这次事件中被盗的文件包括：

• 股票计划参与者姓名

• 地址（最后知道的地址）

• 出生日期

• 社会安全号码

• 法人公司名称

该公司补充说，从Guidehouse的FTA服务器中窃取的文件不包含密码信息或凭据，攻击者可以使用这些信息或凭据来访问受影响的摩根士丹利客户的金融账户。

“保护客户数据至关重要，我们非常重视这一点，”摩根士丹利发言人说。“我们与Guidehouse保持密切联系，并正在采取措施减轻客户的潜在风险。”

去年才因数据泄露被罚4个亿！

而早在2020年，投资银行摩根士丹利（Morgan Stanley）因对2016年两个数据中心的报废处理不当，并可能暴露客户信息，向美国政府支付了6000万美元的罚款，当时约合人民币4亿。我们曾对此进行了报道：

今年这次应该又是一笔巨额罚款在路上，简直是杯具啊！我们还听闻一些国内行业巨头数据已经在外泄露，但是国内外都无人报道且事情过去一两年，归根结底还是数据并没有得不到应有的重视保护，中国也是时候参考下这样的罚款额度了。

背后的一系列Accellion黑客攻击

虽然摩根士丹利的数据泄露通知中没有披露攻击者的身份，但Accellion和Mandiant 2 月份发布的联合声明对这些攻击提供了更多信息，直接将他们与 FIN11网络犯罪组织联系起来。

Clop勒索软件团伙还利用AccellionFTA零日漏洞（于2020年12月披露）从多家公司窃取数据。

Accellion表示，大约有300名客户使用了已有20年历史的旧版FTA软件，其中不到100名在这些攻击中遭到破坏。

从1月开始，我们报告了多起影响公司和组织的数据泄露事件，因为他们的Accellion FTA服务器遭到入侵，这使得网络犯罪集团能够泄露敏感信息。

我们也曾进行了多次报道：

到目前为止，这些威胁行为者纷纷闯入能源巨头壳牌，网络安全公司Qualys公司，新西兰储备银行，新加坡电信，超市巨头克罗格，华盛顿州审计员办公室，澳大利亚证券和投资委员会（ASIC )，以及多所大学和其他组织。

2月，五眼联盟成员还针对这些攻击和勒索企图发布了联合安全公告。