西部聯盟銀行(WAB)透露，其第三方供應商的安全文件傳輸軟件發生數據泄露，近2.2萬名客戶的個人信息受到影響。

這家總部位于亞利桑那州的地區性銀行(擁有50多家分行和800億美元資產)在給可能受影響的客戶的信中透露，法醫分析表明，金融數據、社會保障號碼和其他敏感信息遭到未經授權的訪問。

“我們審查了第三方獲取的文件內容，以確定其中是否包含任何個人信息，”該銀行在信中寫道。“2025年2月21日，我們確定這些文件中包含您的一些個人信息，包括您的姓名和社會保障號碼。如果您向西部聯盟銀行提供了相關信息，那么文件中可能還包含您的出生日期、金融賬戶號碼、駕駛證號碼、納稅人識別號以及護照號碼。”

該銀行首次在2月的SEC文件中披露了這一事件，稱銀行的第三方供應商的安全文件傳輸軟件存在一個零日漏洞，導致少數WAB系統被黑客攻擊。

“公司于2024年10月27日獲悉供應商存在的零日漏洞(‘供應商事件’)，并立即啟動事件響應流程進行調查，并按照軟件開發商的建議部署了所有補丁。公司和其信息安全顧問在2025年1月27日(即發現該事件之日)之前，未發現任何公司或客戶數據遭到非法滲透或外泄的證據。當天，公司的監控流程發現了由威脅行為者發布的與供應商事件相關的文件。這些文件包括2024年10月12日至24日期間通過文件傳輸軟件傳輸的數據，早于供應商事件通知的時間。”該公司在SEC文件中寫道。

個人身份信息(PII)和財務信息很可能已泄露

盡管該銀行在SEC文件中根據初步調查表示，在2025年1月27日(也是發現該事件之日)之前，未發現任何公司或客戶數據的非法“滲透或外泄”，但還是在2025年3月14日向客戶發送了信件，公布了新的調查結果。

在向緬因州總檢察長辦公室提交的泄露通知中，該銀行表示，估計總共有21899名客戶受到此次泄露事件的影響。

根據信件內容，泄露的數據包括姓名、出生日期、駕駛證號碼、納稅人識別號、社會保障號碼、金融賬戶號碼以及護照號碼(如果已提供給銀行)。

攻擊者可能會利用這些信息實施身份盜竊、金融欺詐以及社交攻擊或網絡釣魚攻擊。

Clop勒索軟件集團在1月聲稱對此次泄露事件負責

盡管SEC文件沒有提及被攻擊的第三方軟件或涉及的威脅行為者，但Clop勒索軟件集團在1月聲稱對包括WAB在內的58家公司的大規模泄露事件負責，這些泄露事件利用了Cleo托管文件傳輸平臺中的漏洞。

在發布本文時，WAB未對有關攻擊詳情和與Cleo關系的詢問作出回應。2023年5月，Clop聲稱對臭名昭著的MoveIT網絡攻擊事件負責，該事件迄今已影響全球2,611家組織。

Neovera副總裁Paul Underwood告訴記者：“這不是首個被零日漏洞利用的安全文件傳輸軟件。Accellion的KiteWorks軟件在其FTA產品中也存在零日漏洞，導致2020年末至2021年初發生了一系列網絡攻擊。”

他補充道，公司需要開始更加嚴格地審查其用于存儲潛在敏感信息的軟件。“應使用公鑰/私鑰對實施加密，并采用硬件安全措施(如HSM)來保護密鑰。”