Die Investmentbank Morgan Stanley hat dem Generalstaatsanwalt des US-Bundesstaats New Hampshire einen Sicherheitsvorfall gemeldet. Ein Partnerwurde demnach über eine bekannte Sicherheitslücke in der File Transfer Appliance (FTA) von Accellion gehackt. Den Angreifern fielen dabei vertrauliche Daten von Morgan-Stanley-Kunden in die Hände, darunter auch Sozialversicherungsnummern.
Der Brief trägt das Datum 2. Juli. Morgan Stanley will von dem Vorfall bereits am 20. Mai erfahren haben. Betroffen sind Kunden von Morgan Stanleys StockPlan Connect. Die Investmentbank weist zudem darauf hin, dass die dem Partner zur Verfügung gestellten Daten verschlüsselt waren. Die Hacker hatten aber offenbar auch Zugriff auf den Entschlüsselungsschlüssel. Kundenpasswörter seinen indes nicht kompromittiert worden.
Neben den Sozialversicherungsnummern hatten die Cyberkriminellen auch Einblick in die Namen, Anschriften und Geburtsdaten von Kunden. Der Partner von Morgan Stanley, der Dienstleister Guidehouse, räumte zudem ein, dass der Angriff auf seine Systeme im Januar erfolgte. Der Einbruch sei aber erst im März entdeckt worden. Daraufhin wartete der Partner jedoch weitere zwei Monate, bevor er Morgan Stanley informierte.
Die Verzögerung begründete Guidhouse mit Problemen bei der Ermittlung der Dateien, die in der FTA-Appliance gespeichert waren, während diese angreifbar war. Das Unternehmen versicherte zudem, es habe die Schwachstelle innerhalb von fünf Tagen nach Bereitstellung eines Updates gepatcht.
Die betroffenen Kunden wurden laut Morgan Stanley bereits über den Vorfall informiert. Sie erhalten nun über einen Zeitraum von 24 Monaten eine kostenlose Kreditüberwachung – die gestohlenen Daten erlauben einen Identitätsdiebstahl. Ob auch Kunden in anderen Bundesstaaten betroffen sind, ließ Morgan Stanley offen.
Die Schwachstelle in Accellion FTA wurde von mehren Akteuren für Cyberangriffe benutzt. Bekannt sind Attacken auf den Sicherheitsanbieter Qualys, die Supermarktkette Kroger, die australische Börsenaufsicht ASIC, Singtel, die neuseeländische Zentralbank und den Mineralölkonzern Shell.
Es geht um die Einwilligung zur Verarbeitung personenbezogener Daten für Werbezwecke. Facebook soll sich weiterhin…
Es scheint Unternehmen zu geben, die in einer Art Zufallsmodus auch Cloud-Technologien für sich erschließen,…
Telehealth Competence Center Analytics und Telekom pilotieren KI-basierte Sepsis-Prävention.
Nutzern stehen ab sofort bis zu 200 Chats pro Tag mit Bing Chat zur Verfügung.…
Elektronische Patientenakte (ePA) soll ab Ende 2024 verbindlich sein / Diskussion um die Sicherheit sensibler…
Im Darknet kaufen und verkaufen Cyberkriminelle gestohlene Daten von Datenlecks und Ransomware-Angriffen.