西部聯(lián)盟銀行(WAB)透露，其第三方供應(yīng)商的安全文件傳輸軟件發(fā)生數(shù)據(jù)泄露，近2.2萬(wàn)名客戶的個(gè)人信息受到影響。

這家總部位于亞利桑那州的地區(qū)性銀行(擁有50多家分行和800億美元資產(chǎn))在給可能受影響的客戶的信中透露，法醫(yī)分析表明，金融數(shù)據(jù)、社會(huì)保障號(hào)碼和其他敏感信息遭到未經(jīng)授權(quán)的訪問(wèn)。

“我們審查了第三方獲取的文件內(nèi)容，以確定其中是否包含任何個(gè)人信息，”該銀行在信中寫(xiě)道?！?025年2月21日，我們確定這些文件中包含您的一些個(gè)人信息，包括您的姓名和社會(huì)保障號(hào)碼。如果您向西部聯(lián)盟銀行提供了相關(guān)信息，那么文件中可能還包含您的出生日期、金融賬戶號(hào)碼、駕駛證號(hào)碼、納稅人識(shí)別號(hào)以及護(hù)照號(hào)碼?！?/p>

該銀行首次在2月的SEC文件中披露了這一事件，稱銀行的第三方供應(yīng)商的安全文件傳輸軟件存在一個(gè)零日漏洞，導(dǎo)致少數(shù)WAB系統(tǒng)被黑客攻擊。

“公司于2024年10月27日獲悉供應(yīng)商存在的零日漏洞(‘供應(yīng)商事件’)，并立即啟動(dòng)事件響應(yīng)流程進(jìn)行調(diào)查，并按照軟件開(kāi)發(fā)商的建議部署了所有補(bǔ)丁。公司和其信息安全顧問(wèn)在2025年1月27日(即發(fā)現(xiàn)該事件之日)之前，未發(fā)現(xiàn)任何公司或客戶數(shù)據(jù)遭到非法滲透或外泄的證據(jù)。當(dāng)天，公司的監(jiān)控流程發(fā)現(xiàn)了由威脅行為者發(fā)布的與供應(yīng)商事件相關(guān)的文件。這些文件包括2024年10月12日至24日期間通過(guò)文件傳輸軟件傳輸?shù)臄?shù)據(jù)，早于供應(yīng)商事件通知的時(shí)間?！痹摴驹赟EC文件中寫(xiě)道。

個(gè)人身份信息(PII)和財(cái)務(wù)信息很可能已泄露

盡管該銀行在SEC文件中根據(jù)初步調(diào)查表示，在2025年1月27日(也是發(fā)現(xiàn)該事件之日)之前，未發(fā)現(xiàn)任何公司或客戶數(shù)據(jù)的非法“滲透或外泄”，但還是在2025年3月14日向客戶發(fā)送了信件，公布了新的調(diào)查結(jié)果。

在向緬因州總檢察長(zhǎng)辦公室提交的泄露通知中，該銀行表示，估計(jì)總共有21899名客戶受到此次泄露事件的影響。

根據(jù)信件內(nèi)容，泄露的數(shù)據(jù)包括姓名、出生日期、駕駛證號(hào)碼、納稅人識(shí)別號(hào)、社會(huì)保障號(hào)碼、金融賬戶號(hào)碼以及護(hù)照號(hào)碼(如果已提供給銀行)。

攻擊者可能會(huì)利用這些信息實(shí)施身份盜竊、金融欺詐以及社交攻擊或網(wǎng)絡(luò)釣魚(yú)攻擊。

Clop勒索軟件集團(tuán)在1月聲稱對(duì)此次泄露事件負(fù)責(zé)

盡管SEC文件沒(méi)有提及被攻擊的第三方軟件或涉及的威脅行為者，但Clop勒索軟件集團(tuán)在1月聲稱對(duì)包括WAB在內(nèi)的58家公司的大規(guī)模泄露事件負(fù)責(zé)，這些泄露事件利用了Cleo托管文件傳輸平臺(tái)中的漏洞。

在發(fā)布本文時(shí)，WAB未對(duì)有關(guān)攻擊詳情和與Cleo關(guān)系的詢問(wèn)作出回應(yīng)。2023年5月，Clop聲稱對(duì)臭名昭著的MoveIT網(wǎng)絡(luò)攻擊事件負(fù)責(zé)，該事件迄今已影響全球2,611家組織。

Neovera副總裁Paul Underwood告訴記者：“這不是首個(gè)被零日漏洞利用的安全文件傳輸軟件。Accellion的KiteWorks軟件在其FTA產(chǎn)品中也存在零日漏洞，導(dǎo)致2020年末至2021年初發(fā)生了一系列網(wǎng)絡(luò)攻擊?！?/p>

他補(bǔ)充道，公司需要開(kāi)始更加嚴(yán)格地審查其用于存儲(chǔ)潛在敏感信息的軟件?！皯?yīng)使用公鑰/私鑰對(duì)實(shí)施加密，并采用硬件安全措施(如HSM)來(lái)保護(hù)密鑰?！?/p>