La solution FTA d’Accelion, garantissant pourtant des transferts ultra-sécurisés de fichiers sensibles, a été piratée entre décembre et janvier. Ce n’est que sept mois plus tard que Morgan Stanley signale que certaines des informations de ses clients y étaient transférées vers l’un de ses prestataires.
En décembre dernier, le fournisseur de solutions de transfert de fichiers Accelion était victime de Cl0p. Ce groupe de ransomware n’avait toutefois pas chiffré les fichiers de l’entreprise, mais optait pour l’exfiltration des données de FTA, pour Files Transfer Appliance, un service qu’Accelion décrit comme une plateforme sécurisée pour les fichiers volumineux ou sensibles. Soit un formidable outil pour protéger des échanges de fichiers… qui étaient donc hacké.
Parmi les victimes collatérales de cette attaque, c'est-à-dire des organisations dont les fichiers ont été dérobés dans la manœuvre, on trouvait aussi bien la Banque de Nouvelle-Zélande et des universités américaines que Bombardier, Shell ou encore Qualys. Mais point de Morgan Stanley. A noter qu’Accelion ne prend plus de nouveaux clients pour FTA depuis fin avril, et recommande de passer sur une autre de ses solutions.
Tous coupables
L’attaque a eu lieu entre décembre et janvier. Mais voilà qu’une lettre de la banque Morgan Stanley à l’Attorney General du New Hampshire nous apprend que la liste des victimes de cette attaque contre Accelion FTA n’a pas fini de s’allonger. En effet, selon la banque, l’un de ses prestataires, Guidehouse, qui fournit des services de tenue de comptes, l’a informé fin mai avoir été piraté.
Les données que Morgan Stanley fournit à son fournisseur auraient été consultées par un tiers non autorisé en janvier, un tiers qui aurait exploité la vulnérabilité de FTA, soit probablement Cl0p. Les informations en question contenaient les raisons sociales, nom, prénom, date de naissance et parfois le numéro de sécurité sociale de clients de Morgan Stanley. Des données chiffrées, bien heureusement… sauf que l’attaquant a pu mettre la main sur la clé de déchiffrement.
Guidehouse explique ignorer combien de personnes ont été affectées par cette fuite de données, puisque l’entreprise n’a été informée de l’accès à ses fichiers que deux mois après l’attaque. Il lui était alors difficile d’estimer quels fichiers étaient stockés dans l’appliance au moment où la vulnérabilité de FTA a été exploitée par Cl0p. Puis a attendu deux mois avant d’informer Morgan Stanley. Qui a à son tour attendu deux mois avant de notifier les autorités de cette fuite.