Wegen Accellion-FTA-Lücke: Morgan Stanley meldet Hackerangriff

Die Investmentbank Morgan Stanley hat dem Generalstaatsanwalt des US-Bundesstaats New Hampshire einen Sicherheitsvorfall gemeldet. Ein Partnerwurde demnach über eine bekannte Sicherheitslücke in der File Transfer Appliance (FTA) von Accellion gehackt. Den Angreifern fielen dabei vertrauliche Daten von Morgan-Stanley-Kunden in die Hände, darunter auch Sozialversicherungsnummern.

Der Brief trägt das Datum 2. Juli. Morgan Stanley will von dem Vorfall bereits am 20. Mai erfahren haben. Betroffen sind Kunden von Morgan Stanleys StockPlan Connect. Die Investmentbank weist zudem darauf hin, dass die dem Partner zur Verfügung gestellten Daten verschlüsselt waren. Die Hacker hatten aber offenbar auch Zugriff auf den Entschlüsselungsschlüssel. Kundenpasswörter seinen indes nicht kompromittiert worden.

Neben den Sozialversicherungsnummern hatten die Cyberkriminellen auch Einblick in die Namen, Anschriften und Geburtsdaten von Kunden. Der Partner von Morgan Stanley, der Dienstleister Guidehouse, räumte zudem ein, dass der Angriff auf seine Systeme im Januar erfolgte. Der Einbruch sei aber erst im März entdeckt worden. Daraufhin wartete der Partner jedoch weitere zwei Monate, bevor er Morgan Stanley informierte.

Die Verzögerung begründete Guidhouse mit Problemen bei der Ermittlung der Dateien, die in der FTA-Appliance gespeichert waren, während diese angreifbar war. Das Unternehmen versicherte zudem, es habe die Schwachstelle innerhalb von fünf Tagen nach Bereitstellung eines Updates gepatcht.

Die betroffenen Kunden wurden laut Morgan Stanley bereits über den Vorfall informiert. Sie erhalten nun über einen Zeitraum von 24 Monaten eine kostenlose Kreditüberwachung – die gestohlenen Daten erlauben einen Identitätsdiebstahl. Ob auch Kunden in anderen Bundesstaaten betroffen sind, ließ Morgan Stanley offen.

Die Schwachstelle in Accellion FTA wurde von mehren Akteuren für Cyberangriffe benutzt. Bekannt sind Attacken auf den Sicherheitsanbieter Qualys, die Supermarktkette Kroger, die australische Börsenaufsicht ASIC, Singtel, die neuseeländische Zentralbank und den Mineralölkonzern Shell.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

2 Tagen ago

Hacking-Event Pwn2Own: 25 Zero-Day-Schwachstellen aufgedeckt

Die Hunter nahmen Unternehmenssoftware ins Visier, um Schwachstellen in häufig genutzten Anwendungen ausfindig zu machen.

2 Tagen ago

Echte Security-KI für den OnPrem-Betrieb

Sie heißt LARA. Sie ist eine Security-KI, die sich auf die individuellen Anforderungen von Kunden…

2 Tagen ago

Schnelle Klicks mit schlimmen Folgen

Mit psychologischen Tricks verleiten Spear-Phishing-Angreifer ihre Opfer zu schnellen Klicks auf betrügerische Mails, warnt David…

3 Tagen ago

Lieferkettensorgfalts- pflichtengesetz setzt Unternehmen unter Zugzwang

Modebranche, Textilindustrie und Einzelhandel stehen unter Druck, die Vorgaben des Lieferkettensorgfaltspflichtengesetz (LkSG) ab Januar 2023…

3 Tagen ago

Mit DevOps die Produktivität und Qualität von Software-Releases erhöhen

Das DevOps-Konzept erfordert eine weitflächige Automatisierung, um die Prozesse der Softwareentwicklung zu verbessern, sagt Gastautorin…

4 Tagen ago