Проморгали атаку: Western Alliance обнаружил утечку данных спустя квартал после взлома
Банк с активами на $80 миллиардов не заметил исчезновения информации 20 тысяч клиентов.
Western Alliance Bank, базирующийся в американском городе Финикс, штат Аризона, подтвердил, что персональная информация более 20 000 человек была похищена в результате эксплуатации уязвимости в популярном инструменте для передачи файлов. Инцидент произошёл в 2024 году, однако официальное уведомление о нарушении банк подал только на прошлой неделе в регуляторные органы штатов Мэн и Калифорния.
По данным банка, уязвимость была обнаружена в защищённом программном обеспечении стороннего поставщика, которое использовалось не только Western Alliance, но и многими другими организациями. Название затронутого программного продукта в уведомлениях не уточняется, и представители банка отказались от комментариев. Однако, судя по дате взлома, инцидент связан со взломом программного обеспечения Cleo хакерской группировкой Clop.
Согласно поданным документам, в октябре 2024 года неизвестный злоумышленник начал использовать неизвестную ранее уязвимость в стороннем программном обеспечении, что позволило ему получить доступ к части систем Western Alliance и скопировать определённые файлы. О проникновении банк узнал 27 января 2025 года, а проведённое расследование установило, что кража данных происходила в период с 12 по 24 октября 2024 года.
Среди похищенной информации оказались имена клиентов, номера социального страхования, а также в некоторых случаях даты рождения, номера финансовых счетов, водительские удостоверения, идентификационные номера налогоплательщиков и даже паспорта. В уведомлении для регуляторов штата Мэн Western Alliance уточнил, что пострадали 21 899 человек. Всем затронутым клиентам будет предоставлен год бесплатных услуг по защите личных данных.
Банк, управляющий активами на сумму более $80 миллиардов, сообщил, что его чистая прибыль за 2024 год составила $787,7 миллиона. Тем временем расследования по поводу возможного воздействия атаки продолжаются в других компаниях, также упомянутых хакерами Clop.
Так, Hewlett Packard Enterprise заявила, что проводит проверку, но пока не подтвердила факт компрометации. Thomson Reuters также оказалась среди компаний, использовавших Cleo. Представитель её подразделения Legal Tracker сообщил, что небольшой сегмент клиентов, использующих интеграционную услугу Professional Services, действительно работал с уязвимой платформой. Компания уже удалила приложение Cleo из своей среды и связалась с пострадавшими клиентами, однако не уточнила, были ли скомпрометированы их данные.
Группировка Clop в последние годы атаковала различные платформы для передачи данных, такие как Ipswitch MOVEit Transfer , Fortra GoAnywhere и Accellion FTA . Осенью 2024 года она опубликовала список из 66 компаний , якобы пострадавших от взлома Cleo, а в 2025 году продолжает раскрывать новые имена организаций, которые могли быть затронуты утечкой.