自今年年初爆发的Accellion文件传输解决方案(File Transfer Appliance,FTA)攻击事故,陆续有企业出面表明是该产品的用户,而导致遭到攻击且资料外泄,如今又有大型金融公司坦承受害。根据安全新闻网站Bleeping Computer报道,跨国投顾公司摩根史坦利(Morgan Stanley)于7月2日发出声明,该公司因维护StockPlan Connect服务的外部供应商Guidehouse遇害,导致108名新罕布夏州客户的资料外泄,而原因就是Guidehouse的Accellion FTA服务器遭到入侵。
根据摩根史坦利的公告,Guidehouse服务器资料外泄的时间点,是在今年1月,攻击者利用了Accellion FTA漏洞对其服务器下手,而这个漏洞在5天内被修补。虽然摩根史坦利的资料都以加密的方式存储,但攻击者同时取得解密密钥和加密的文件,而能够读取加密资料的内容。
而在整个供应链攻击行动中,Accellion从2020年12月到2021年3月,多次发布修补程序,其中,他们在1月25日,针对CVE-2021-27102与CVE-2021-27103漏洞,推出FTA的9.12.416进行修补。换言之,Guidehouse的服务器很可能约在1月20日遭到入侵。
不过,Guidehouse直到3月,才发现漏洞遭到滥用,并在5月发现对于摩根史坦利客户的影响。Guidehouse将这样的情况进行通报,并指出这些遭窃的资料,并未发现被对外传播的证据。
摩根史坦利指出,这起事故遭到外泄的资料,包括了参与股票投资计划的用户姓名、地址、出生日期、社会安全码,以及公司名称等,但不包含密码或是凭证。因此,攻击者应该无法借由窃得的资料,来访问受影响投资人的金融账户。
而对于这起事故,摩根史坦利也强调,自家应用程序没有出现资料外泄的情况,他们与Guidehouse保持密切合作,且正在采取减轻客户潜在风险的措施。