独自のブランドのクレジット カードを提供するフィンテック企業にインフラストラクチャを提供するデジタル ファーストの銀行である Hatch Bank は、ハッカーが、何千もの顧客の社会保障番号へのアクセスを可能にする同社の内部ファイル転送ソフトウェアのゼロデイ脆弱性を悪用したことを確認しました。
Fortra の GoAnywhere ファイル転送ソフトウェアの脆弱性は、2 月 2 日にセキュリティ ジャーナリストの Brian Krebs 氏によって明らかになりました。 公開された詳細 ハイテク企業がアドバイザリをログイン プロンプトの背後に配置したため、Fortra のセキュリティ アドバイザリの
Clop ランサムウェア ギャングは、ゼロデイ脆弱性を悪用したと主張しており、次のように追跡されています。 CVE-2023-0669、130以上の組織からデータを盗みます。 米国最大のヘルスケア プロバイダーの 1 つである Community Health Systems は、ゼロデイ バグの犠牲になったことを公に開示した最初の被害者でした。 今週、Hatch Bank が 2 番目の既知の被害者になりました。
の そのデータ侵害通知 今週メイン州の司法長官に提出された Hatch Bank によると、攻撃者は GoAnywhere システムの脆弱性を悪用して、メイン州に拠点を置く 630 人の個人を含む 140,000 人近くの顧客の名前と社会保障番号を盗んだ.
Hatch Bank は、Fortra (以前は ヘルプシステム) は 1 月 29 日に GoAnywhere ソフトウェアの脆弱性を知りましたが、2 月 3 日まで Hatch Bank に通知しませんでした — Krebs が GoAnywhere の欠陥のニュースを明らかにした翌日です。 これらの事件が関連しているかどうかは不明であり、Fortra は TechCrunch の質問への回答を拒否した.
通知では、ハッカーが 1 月 30 日から 1 月 31 日まで Hatch のアカウントに不正アクセスしたと警告しています。銀行は月曜日に影響を受けた顧客に送られた書簡で述べた. 銀行は、連邦法執行機関にも通知したと述べています。
銀行は、侵害の影響を受けた人々に無料の信用監視サービスへのアクセスを提供していると述べています。 また、従業員向けのサイバーセキュリティトレーニングとともに、不特定の「追加のセーフガード」を社内で実装するために取り組んでいると述べました。
Hatch Bank の社長である Jer Wood 氏は TechCrunch の質問に答えなかった。
GoAnywhere の脆弱性による被害の規模は不明のままですが、クロップ氏の主張は、被害者の多くがまだ名乗り出ていないことを示唆しています。 セキュリティの専門家は、この脆弱性を、Qualys、Shell、コロラド大学、Kroger、Morgan Stanley などの多くの組織を侵害するために使用された、Accellion のレガシー ファイル転送アプライアンス (FTA) に影響を与える以前のゼロデイ脆弱性に例えました。 .