2025 年 11 月 22 日,《紐約時報》報道稱,包括摩根大通、花旗銀行和摩根士丹利在內的多家大型銀行的客戶資料可能在一家技術供應商遭到駭客攻擊後洩露。
涉事公司是房地產金融供應商 SitusAMC,該公司在一份聲明中解釋說,11 月 12 日,該公司遭受網路攻擊,導致其部分系統資訊洩露,並可能影響其客戶公司的客戶資料。
面臨風險的數據包括與客戶交易相關的公司信息,例如會計文件和法律協議。摩根大通、花旗集團和摩根士丹利尚未立即回應置評請求。聯邦調查局表示正在調查這起事件的影響範圍,但尚未確認對銀行業務造成任何影響。
SitusAMC表示,該事件已受到控制,服務已恢復正常運行,且不涉及加密惡意軟體。
從: 
根據《紐約時報》報道,摩根大通、花旗集團和摩根士丹利的客戶資料可能因供應商遭駭客攻擊而洩漏。
【社論】
這起新聞事件暴露了整個金融基礎設施中一個“不易察覺的弱點”,因為攻擊目標並非銀行的核心系統,而是為其提供後台支持的外部供應商。這家名為SitusAMC的供應商負責房地產貸款和證券化的後端業務,這次遭受網路攻擊,據稱摩根大通、花旗集團和摩根士丹利等大型銀行的客戶資料可能已被洩露。
值得注意的是,聯邦調查局已聲明目前「銀行服務運作正常」 。這次事件並非導致存款或轉帳中斷,而是後端資訊處理層「究竟有多少資料被竊」。然而,供應商已承認,包括會計文件和合約在內的公司資訊都被洩露,這使得此類事件可能悄悄引發長期風險,例如身分盜竊和信用資訊濫用。
SitusAMC是一家「SaaS+BPO」服務商,主要在雲端處理與房地產貸款和證券化產品相關的複雜操作。為了提高效率和尋求專業技術,銀行越來越依賴這些外部供應商。因此,網路攻擊的前線已從銀行本身系統轉移到供應鏈中的技術供應商。這是金融數位轉型帶來的另一面:第三方風險突然凸顯。
在這種情況下,據解釋,攻擊者並未使用加密惡意軟體(勒索軟體),而且極有可能的攻擊類型是“悄悄提取資料並將其轉化為價值”,而不是“關閉服務並索取贖金”。如果被盜資料在暗網上買賣,則可能被用於網路釣魚、商業電子郵件入侵和定向攻擊。由於直接損失難以估量,因此這類事件應被視為企業危機感和投資者評估存在時間滯後的事件。
從日本的角度來看,不能說「因為我們不使用SitusAMC,所以這件事與我們無關」。日本國內金融機構越來越多地將房地產、貸款、證券化和信貸管理服務外包給外部SaaS和BPO供應商,從而形成了一種隨時可能發生類似供應鏈攻擊的局面。尤其是在外包服務將海外供應商與雲端技術結合時,資料儲存位置和責任劃分很容易變得模糊不清,從而引發「誰應該為此事負責?如何向社會解釋?」等治理問題。
科技的正面作用和潛在風險總是相輔相成。由於處理高階資料處理的外部供應商,銀行得以快速推出新的金融產品並擴展服務,同時有效控製成本。然而,這種發展也使「薄弱環節決定整體強度」的供應鏈安全原則直接影響金融領域的核心。
從長遠來看,監管的重點可能會從“銀行本身”轉向“與銀行相關的技術供應商”,監管力度可能會加快。歐洲和美國已經在討論將重要的雲端服務和IT供應商納入「系統重要性基礎設施」範疇,並對其進行監管,而此類事件只會進一步推動這一討論。作為讀者,我認為不應將此新聞簡單地視為“又一次信息洩露”,而應密切關注在金融和科技密不可分的世界中,哪些環節正在出現新的瓶頸和機遇。
[術語]
供應鏈攻擊<br>這類網路攻擊並非針對公司本身,而是針對公司使用的供應商和合作夥伴公司。越來越多的案例表明,金融機構使用的SaaS和BPO服務成為攻擊目標。
個人識別資訊 (PII)
這是指能夠辨識個人身分的訊息,例如姓名、地址、帳號等。如果這些資訊洩露,極有可能被濫用於身分盜竊和網路釣魚詐騙等目的。
勒索軟體<br>一種惡意軟體,它會加密系統和數據,使其無法使用,並要求支付贖金才能解密。 SitusAMC解釋說,這起事件與加密惡意軟體無關。
業務流程外包 (BPO)
這指的是將公司部分業務流程外包給外部專業公司。在金融領域,這種做法通常用於貸款管理和房地產相關工作。
[參考連結]
SitusAMC (外部)
它是一家為房地產金融和證券化市場提供貸款管理和數據分析的供應商。
摩根大通(外部)
這是一家總部位於美國紐約的大型金融集團,提供包括銀行和投資銀行在內的廣泛服務。
花旗集團(Citi) (外部)
一家大型美國金融集團,在全球範圍內提供廣泛的服務,包括消費銀行和企業融資。
摩根士丹利(外部)
美國大型金融機構,其主要業務包括投資銀行、資產管理和財富管理。
美國聯邦調查局(FBI) (外部)
它是美國司法部下屬的調查機構,負責打擊網路犯罪並進行國家級調查。
[參考文章]
大量銀行客戶資料遭到駭客攻擊。聯邦調查局正在調查此事。 (外部連結)
該報告詳細描述了入侵供應商 SitusAMC 的途徑、影響範圍以及 FBI 的調查進展,解釋了供應鏈攻擊的性質。
駭客入侵金融科技公司後,美國各銀行緊急評估資料外洩狀況(外部通報)
本文從技術角度總結了金融科技供應商融入金融基礎設施的結構以及資料竊取攻擊的風險。
SitusAMC供應商遭受攻擊,華爾街銀行客戶資料外洩(外部)
該報告分析了 SitusAMC 處理的資料類型和攻擊場景,並解釋了不涉及加密的資訊竊取型網路攻擊的特點。
美國主要銀行評估其在SitusAMC資料外洩事件中的風險敞口(外部資訊)
該報告從美國主要銀行如何評估自身風險敞口和第三方風險管理的角度來分析此案例。
SitusAMC資料外洩事件導致100多家金融機構的資料外洩(外部連結)
該報告總結了可能受到 SitusAMC 影響的金融機構數量和行業範圍,並討論了供應商集中度的風險。
駭客從一家大型銀行業供應商(外部)竊取敏感數據
該報告將此安全漏洞描述為典型的供應鏈攻擊,並總結了企業應該加強的攻擊方法和控制措施。
[編者註]
這次打擊的目標並非金融機構本身,而是為它們提供幕後支持的供應商。我認為,這則新聞讓我們得以窺見「貨幣基礎設施」在多大程度上依賴複雜的供應鏈。
如果您從事金融或房地產科技行業,或者在工作中使用 SaaS 或雲端服務,何不藉此機會盤點一下貴公司有多少資料被洩露,以及在洩露之後如何保護這些資料?
