Wegen Accellion-FTA-Lücke: Morgan Stanley meldet Hackerangriff
Unbekannte dringen in Systeme eines Partners ein. Der hält den Vorfall rund zwei Monate geheim. Die Angreifer erbeuten persönliche Daten wie Sozialversicherungsnummern von Morgan-Stanley-Kunden.
Die Investmentbank Morgan Stanley hat dem Generalstaatsanwalt des US-Bundesstaats New Hampshire einen Sicherheitsvorfall gemeldet. Ein Partnerwurde demnach über eine bekannte Sicherheitslücke in der File Transfer Appliance (FTA) von Accellion gehackt. Den Angreifern fielen dabei vertrauliche Daten von Morgan-Stanley-Kunden in die Hände, darunter auch Sozialversicherungsnummern.
Der Brief trägt das Datum 2. Juli. Morgan Stanley will von dem Vorfall bereits am 20. Mai erfahren haben. Betroffen sind Kunden von Morgan Stanleys StockPlan Connect. Die Investmentbank weist zudem darauf hin, dass die dem Partner zur Verfügung gestellten Daten verschlüsselt waren. Die Hacker hatten aber offenbar auch Zugriff auf den Entschlüsselungsschlüssel. Kundenpasswörter seinen indes nicht kompromittiert worden.
Neben den Sozialversicherungsnummern hatten die Cyberkriminellen auch Einblick in die Namen, Anschriften und Geburtsdaten von Kunden. Der Partner von Morgan Stanley, der Dienstleister Guidehouse, räumte zudem ein, dass der Angriff auf seine Systeme im Januar erfolgte. Der Einbruch sei aber erst im März entdeckt worden. Daraufhin wartete der Partner jedoch weitere zwei Monate, bevor er Morgan Stanley informierte.
Die Verzögerung begründete Guidhouse mit Problemen bei der Ermittlung der Dateien, die in der FTA-Appliance gespeichert waren, während diese angreifbar war. Das Unternehmen versicherte zudem, es habe die Schwachstelle innerhalb von fünf Tagen nach Bereitstellung eines Updates gepatcht.
Die betroffenen Kunden wurden laut Morgan Stanley bereits über den Vorfall informiert. Sie erhalten nun über einen Zeitraum von 24 Monaten eine kostenlose Kreditüberwachung – die gestohlenen Daten erlauben einen Identitätsdiebstahl. Ob auch Kunden in anderen Bundesstaaten betroffen sind, ließ Morgan Stanley offen.
Die Schwachstelle in Accellion FTA wurde von mehren Akteuren für Cyberangriffe benutzt. Bekannt sind Attacken auf den Sicherheitsanbieter Qualys, die Supermarktkette Kroger, die australische Börsenaufsicht ASIC, Singtel, die neuseeländische Zentralbank und den Mineralölkonzern Shell.