Hatch Bank, eine Digital-First-Bank, die Infrastruktur für Fintech-Unternehmen bereitstellt, die ihre eigenen Kreditkarten anbieten, bestätigte, dass Hacker eine Zero-Day-Schwachstelle in der unternehmensinternen Dateiübertragungssoftware ausgenutzt haben, die den Zugriff auf Tausende von Sozialversicherungsnummern von Kunden ermöglichte.
Die Schwachstelle in Fortras GoAnywhere-Dateiübertragungssoftware wurde am 2. Februar nach dem Sicherheitsjournalisten Brian Krebs bekannt öffentlich geteilte Details der Sicherheitsempfehlung von Fortra, weil das Technologieunternehmen die Empfehlung hinter eine Anmeldeaufforderung gestellt hatte.
Die Clop-Ransomware-Bande behauptete, den Zero-Day-Fehler ausgenutzt zu haben, wie er verfolgt wurde CVE-2023-0669, um Daten von mehr als 130 Organisationen zu stehlen. Community Health Systems, einer der größten Gesundheitsdienstleister in den Vereinigten Staaten, war das erste Opfer, das öffentlich bekannt gab, dass es dem Zero-Day-Bug zum Opfer gefallen war. Hatch Bank wurde diese Woche das zweite bekannte Opfer.
In seine Benachrichtigung über Datenschutzverletzungen Die Hatch Bank, die diese Woche beim Generalstaatsanwalt von Maine eingereicht wurde, sagte, dass Angreifer die Schwachstelle in ihrem GoAnywhere-System ausgenutzt hätten, um die Namen und Sozialversicherungsnummern von fast 140.000 Kunden zu stehlen, darunter 630 Personen mit Sitz in Maine.
Hatch Bank sagte, während Fortra (früher bekannt als Hilfesysteme) am 29. Januar von der Schwachstelle in seiner GoAnywhere-Software erfuhr, benachrichtigte das Technologieunternehmen die Hatch Bank erst am 3. Februar – einen Tag, nachdem Krebs zum ersten Mal Neuigkeiten über die GoAnywhere-Schwachstelle veröffentlicht hatte. Es ist unklar, ob diese Vorfälle zusammenhängen, und Fortra lehnte es ab, die Fragen von Tech zu beantworten.
In der Benachrichtigung wurde davor gewarnt, dass Hacker vom 30. bis 31. Januar unbefugten Zugriff auf das Konto von Hatch hatten. „Die Hatch Bank hat sofort Schritte unternommen, um ihre Dateien zu sichern, und dann eine sorgfältige und umfassende Überprüfung der relevanten Dateien eingeleitet, um die möglicherweise betroffenen Informationen zu ermitteln.“ sagte die Bank in einem Brief, der am Montag an betroffene Kunden gesendet wurde. Die Bank sagt, dass sie auch die Strafverfolgungsbehörden des Bundes benachrichtigt hat.
Die Bank sagt, dass sie den von der Verletzung Betroffenen Zugang zu kostenlosen Kreditüberwachungsdiensten bietet. Es sagte auch, es arbeite daran, nicht näher bezeichnete „zusätzliche Schutzmaßnahmen“ intern zu implementieren, zusammen mit Cybersicherheitsschulungen für seine Mitarbeiter.
Jer Wood, Präsident der Hatch Bank, antwortete nicht auf die Fragen von Tech.
Das Ausmaß der Auswirkungen der GoAnywhere-Schwachstelle ist noch unbekannt, aber Clops Behauptungen deuten darauf hin, dass sich noch nicht viel mehr Opfer gemeldet haben. Sicherheitsexperten verglichen den Fehler auch schnell mit einem früheren Zero-Day-Fehler, der Accellions Legacy File Transfer Appliance (FTA) betraf, der verwendet wurde, um eine Reihe von Organisationen zu kompromittieren, darunter Qualys, Shell, die University of Colorado, Kroger und Morgan Stanley .