华盛顿州审计局遭遇数据泄露,160万份就业申请中暴露了个人信息。
华盛顿州审计署(SAO)称,他们在一名威胁行为人利用Accellion安全文件传输服务中的漏洞后遭遇数据泄露。
“SAO被告知,未经授权的人能够利用Accellion的文件传输服务中的软件漏洞,访问正在使用Accellion的服务传输的文件。Accellion表示,他们认为未经授权的访问发生在2020年12月底。”
“此Accellion服务的其他客户也受到了类似的影响。SAO目前正在寻求全面了解事件的时间安排以及Accellion的调查和执法部门的调查情况。目前,SAO还没有足够的信息来对事件发生的时间和范围做出结论。”
“直到2021年1月25日这一周,Accellion才向SAO确认SAO文件受到了这次攻击,并提供了SAO开始识别哪些数据文件受到影响以及这些文件中有个人信息的个人所需的信息,SAO在其网站上发布的安全漏洞通知中称。
这些被曝光的索赔是在就业保障部(ESD)的数据文件中,包含华盛顿居民的敏感个人信息。
“这些ESD数据文件包含失业补偿申请信息,包括个人姓名、社会保险号码和/或驾照或州身份证号码、银行帐号和银行路线号码以及工作地点,”违规通知解释道。
除了申请失业救济外,华盛顿一些地方政府和其他州政府机构的文件也受到了影响。
SAO仍在调查这些文件中包含的信息。
12月袭击事件的罪魁祸首是零日
Accellion是一家安全文件传输服务提供商,允许组织与组织外部的用户安全地共享敏感文档。这项服务在银行、政府机构和金融机构中很受欢迎,这些机构通常与外部用户共享敏感文档。
Accellion表示,他们在12月中旬意识到遗留FTA解决方案中存在一个被积极利用的零日漏洞,并向所有客户部署了一个补丁。
现代安全文件共享服务Accellion KiteWorks也在2020年12月收到了安全更新。
不幸的是,许多组织在部署此漏洞修补程序之前就被攻破了漏洞,包括新西兰储备银行、澳大利亚证券和投资委员会(ASIC)和哈佛商学院。
“12月下旬,哈佛商学院(HBS)接到一家供应商的通知,称该供应商的软件存在漏洞。HBS应用了供应商提供的修补程序来解决该漏洞。2020年12月29日,供应商通知哈佛商学院,其发现未经授权访问某些哈佛商学院文件。”
哈佛商学院(Harvard Business School)在一份声明中表示:“哈佛商学院立即展开调查,确定在2020年12月21日至12月23日期间,一个或多个未经授权的第三方下载了包含个人信息的文件。”。
网络安全行业的消息人士称,Accellion的软件的漏洞也导致了哈佛商学院的漏洞。
由于Accellion是许多组织使用的一种流行服务,我们应该期望看到类似的违规行为很快就会被发现。
【参考来源:bleepingcomputer】