Tội phạm mạng đã khai thác một loạt lỗ hổng trong Accellion FTA, một dịch vụ truyền tệp của bên thứ ba được sử dụng rộng rãi trong các doanh nghiệp như một giải pháp thay thế cho tệp đính kèm email. Theo Ars Technica, cuộc tấn công mạng lớn đã dẫn đến một vụ vi phạm dữ liệu tại Morgan Stanley, làm lộ thông tin cá nhân nhạy cảm .
Morgan Stanley là một trong những nạn nhân của cuộc tấn công mạng Accellion FTA . Nhiều loại dữ liệu đã bị đánh cắp, bao gồm số an sinh xã hội, ngày sinh, địa chỉ, tên và tên của các công ty liên kết. Guidehouse, một dịch vụ của bên thứ ba được Morgan Stanley sử dụng, nắm giữ thông tin và thật đáng kinh ngạc, các nhân viên của đài phát thanh im lặng.
Đại diện của Morgan Stanley cho biết, “Việc bảo vệ dữ liệu khách hàng là điều quan trọng hàng đầu và là điều chúng tôi rất coi trọng. Chúng tôi đang liên hệ chặt chẽ với Guidehouse và đang thực hiện các bước để giảm thiểu rủi ro tiềm ẩn cho khách hàng. ”
Accellion mất gần hai tuần để thông báo cho người dùng bị ảnh hưởng về các mối đe dọa bảo mật
Khi lựa chọn giữa email và Công cụ truyền tệp (FTA), khách hàng của Accellion thích cái sau như một giải pháp thay thế đáng tin cậy để truyền các tệp dữ liệu lớn. Thay vì tệp đính kèm, người nhận email nhận được liên kết đến các tệp được lưu trữ trên FTA mà sau đó có thể tải xuống. Mặc dù đã gần 20 năm tuổi, nhưng FTA kế thừa vẫn được các tổ chức bảo hiểm, tài chính và thậm chí chính phủ sử dụng rộng rãi.
Việc khai thác FTA lần đầu tiên được phát hiện vào tháng 12 năm 2020. Công ty tuyên bố đã thông báo cho tất cả các khách hàng bị ảnh hưởng và sửa các lỗ hổng khiến các hệ thống dễ bị tấn công trong vòng 72 giờ kể từ khi biết. Tuy nhiên, các nguồn tin độc lập phát hiện ra rằng công ty đã mất hai tuần để gửi thông báo và sửa các lỗ hổng.
Để làm cho vấn đề tồi tệ hơn, công ty bảo mật thông tin Mandiant đã xác định thêm hai lỗ hổng zero-day trong những tháng sau đó. Sau đó, một lần nữa, đây không phải là một điều gì đó mới mẻ vì trước đây khách hàng đã báo cáo sự không hài lòng với thời gian phản hồi của Accellion trong việc cảnh báo họ về những rủi ro đối với hệ thống máy tính của họ.