美國軟體供應商Accellion遭駭餘波蕩漾,受害者紛紛出面指責

繼華盛頓州審計官辦公室在2月初披露,因所使用的第三方檔案傳輸服務Accellion遭到駭客入侵而造成資料外洩事件之後,上周包括全球知名律師事務所Jones Day與連鎖商店Kroger也紛紛爆出資料外洩事件,而源頭同樣是Accellion,再度顯現出軟體供應鏈遭駭的嚴重性。

成立於1999年的Accellion為一私有雲端解決方案供應商,定位為企業內容防火牆供應商,專注於提供安全的檔案分享與協作服務,允許使用者自任何裝置存取或編輯組織內容。

Accellion是在今年的1月12日坦承遭到駭客攻擊,指出駭客透過零時差漏洞攻陷其檔案傳輸設備(File Transfer Appliance,FTA)軟體,但該公司在察覺攻擊行動的72小時之內就修補了相關漏洞,且只有不到50個客戶受到波及。

然而,由於Accellion擁有許多大型客戶,使得事態更形嚴重。例如華盛頓州審計官辦公室已確認至少有160萬名民眾資料因此外洩,其他Accellion用戶包括律師事務所Jones Day的內部資料也被駭客對外公開,連鎖商店Kroger亦於上周揭露其資料外洩事故。

根據華爾街日報的報導,駭客是在2月3日入侵Jones Day網路,宣稱取得了100GB的Jones Day資料,並藉此向Jones Day勒索,由於Jones Day拒絕支付贖金,使得駭客開始於暗網中散布Jones Day的機密資料。

另一方面,Jones Day則向該報表示,該公司並未遭遇勒索軟體攻擊,而是因為Accellion遭到駭客攻擊而間接受害。

Jones Day為一總部位於美國的國際律師事務所,它除了是全美第五大律師事務所之外,也是美國前任總統川普(Donald Trump)的外部法律顧問,此一資料外洩事件可能間接危及這家事務所眾多知名委託人。

至於Kroger則為美國的零售業者,它在全美有接近3,000家的超市與170家的珠寶門市,為紐約股市的上市公司。

Kroger在上周發布了新聞稿,直接點名是因Accellion才造成該公司的資料外洩,但相信只有不到1%的客戶資料外洩,主要是Kroger Health與Money Services客戶受到影響,且客戶的金融卡資料或帳號密碼並未外洩。

Kroger說自己是在1月23日收到Accellion的通知,當時立即停止使用Accellion的檔案傳輸服務,並旋即通知執法機關與展開調查。

而BleepingComputer則報導,該資安事件亦波及了紐西蘭的儲備銀行、澳洲的證券與投資委員會(ASIC),以及哈佛商學院等Accellion用戶。

華爾街日報引述商業顧問公司FTI Consulting的看法指出,來自Accellion客戶的指責才正要開始,最終很可能會透過司法程序來究責。

原文來自 iThome Online