西部聯(lián)盟銀行(WAB)透露，其第三方供應商的安全文件傳輸軟件發(fā)生數(shù)據(jù)泄露，近2.2萬名客戶的個人信息受到影響。

這家總部位于亞利桑那州的地區(qū)性銀行(擁有50多家分行和800億美元資產(chǎn))在給可能受影響的客戶的信中透露，法醫(yī)分析表明，金融數(shù)據(jù)、社會保障號碼和其他敏感信息遭到未經(jīng)授權(quán)的訪問。

“我們審查了第三方獲取的文件內(nèi)容，以確定其中是否包含任何個人信息，”該銀行在信中寫道?！?025年2月21日，我們確定這些文件中包含您的一些個人信息，包括您的姓名和社會保障號碼。如果您向西部聯(lián)盟銀行提供了相關(guān)信息，那么文件中可能還包含您的出生日期、金融賬戶號碼、駕駛證號碼、納稅人識別號以及護照號碼?！?/p>

該銀行首次在2月的SEC文件中披露了這一事件，稱銀行的第三方供應商的安全文件傳輸軟件存在一個零日漏洞，導致少數(shù)WAB系統(tǒng)被黑客攻擊。

“公司于2024年10月27日獲悉供應商存在的零日漏洞(‘供應商事件’)，并立即啟動事件響應流程進行調(diào)查，并按照軟件開發(fā)商的建議部署了所有補丁。公司和其信息安全顧問在2025年1月27日(即發(fā)現(xiàn)該事件之日)之前，未發(fā)現(xiàn)任何公司或客戶數(shù)據(jù)遭到非法滲透或外泄的證據(jù)。當天，公司的監(jiān)控流程發(fā)現(xiàn)了由威脅行為者發(fā)布的與供應商事件相關(guān)的文件。這些文件包括2024年10月12日至24日期間通過文件傳輸軟件傳輸?shù)臄?shù)據(jù)，早于供應商事件通知的時間?！痹摴驹赟EC文件中寫道。

個人身份信息(PII)和財務信息很可能已泄露

盡管該銀行在SEC文件中根據(jù)初步調(diào)查表示，在2025年1月27日(也是發(fā)現(xiàn)該事件之日)之前，未發(fā)現(xiàn)任何公司或客戶數(shù)據(jù)的非法“滲透或外泄”，但還是在2025年3月14日向客戶發(fā)送了信件，公布了新的調(diào)查結(jié)果。

在向緬因州總檢察長辦公室提交的泄露通知中，該銀行表示，估計總共有21899名客戶受到此次泄露事件的影響。

根據(jù)信件內(nèi)容，泄露的數(shù)據(jù)包括姓名、出生日期、駕駛證號碼、納稅人識別號、社會保障號碼、金融賬戶號碼以及護照號碼(如果已提供給銀行)。

攻擊者可能會利用這些信息實施身份盜竊、金融欺詐以及社交攻擊或網(wǎng)絡釣魚攻擊。

Clop勒索軟件集團在1月聲稱對此次泄露事件負責

盡管SEC文件沒有提及被攻擊的第三方軟件或涉及的威脅行為者，但Clop勒索軟件集團在1月聲稱對包括WAB在內(nèi)的58家公司的大規(guī)模泄露事件負責，這些泄露事件利用了Cleo托管文件傳輸平臺中的漏洞。

在發(fā)布本文時，WAB未對有關(guān)攻擊詳情和與Cleo關(guān)系的詢問作出回應。2023年5月，Clop聲稱對臭名昭著的MoveIT網(wǎng)絡攻擊事件負責，該事件迄今已影響全球2,611家組織。

Neovera副總裁Paul Underwood告訴記者：“這不是首個被零日漏洞利用的安全文件傳輸軟件。Accellion的KiteWorks軟件在其FTA產(chǎn)品中也存在零日漏洞，導致2020年末至2021年初發(fā)生了一系列網(wǎng)絡攻擊?！?/p>

他補充道，公司需要開始更加嚴格地審查其用于存儲潛在敏感信息的軟件。“應使用公鑰/私鑰對實施加密，并采用硬件安全措施(如HSM)來保護密鑰?！?/p>