La banque Morgan Stanley a indiqué avoir été touchée par une campagne de piratage orchestrée via l’un de ses fournisseurs. L’exploitation d’une faille de sécurité dans la solution Accellion FTA serait à l’origine de l’attaque.
La banque Morgan Stanley a informé la justice américaine que l’un de ses fournisseurs a été attaqué par le biais de la vulnérabilité Accellion FTA et que certaines informations relatives à des clients – dont des numéros de sécurité sociale – ont été consultées. Dans une lettre datée du 2 juillet et adressée au procureur général du New Hampshire, Morgan Stanley a déclaré que Guidehouse, un fournisseur qui propose des services de tenue de compte à l’activité StockPlan Connect de Morgan Stanley, l’a informé le 20 mai avoir été piraté.
Les informations de certains participants à son programme StockPlan Connect, dont ceux du New Hampshire, ont été « obtenues par un individu non autorisé ». Morgan Stanley a déclaré qu’elle envoie « régulièrement » à Guidehouse un fichier sécurisé des actionnaires StockPlan long dont la déshérence est prévue et « engage Guidehouse à obtenir les coordonnées actuelles de ces participants StockPlan avant le début du processus de déshérence ».
« Bien que les fichiers en possession de Guidehouse aient été chiffrés, Guidehouse nous a dit que la personne non autorisée a pu obtenir la clé de déchiffrement pendant l’incident de sécurité, en raison de la vulnérabilité dans la solution Accellion FTA », a déclaré la société, ajoutant que les mots de passe des comptes financiers n’ont pas été consultés pendant la violation. « Les fichiers obtenus auprès du fournisseur comprenaient les informations suivantes sur les participants : nom ; adresse (dernière adresse connue) ; date de naissance ; numéro de sécurité sociale (si le participant en avait un) ; et nom de la société. »
Source : La banque Morgan Stanley touchée une fuite de données