Fidelity Investments 数据泄露事件

关键要点

Fidelity Investments在10月9日通知客户，因数据泄露事件，一名“第三方”盗取了部分客户的个人信息，但未涉及Fidelity账户。此事件影响了77099名客户，Fidelity已采取措施阻止未经授权访问。专家指出，攻击者可能旨在收集信息，利用此信息进行身份盗窃或其他恶意活动。安全专家提到可能存在Fidelity客户网页应用程序中的安全配置问题。

Fidelity Investments于10月9日向其客户发出信件，透露公司经历了一次数据泄露事件，一名“第三方”从部分客户那里盗取了未公开的个人信息。值得注意的是，该事件并未涉及到Fidelity账户的访问。

这家总部位于波士顿的金融服务公司在向缅因州检察总长的文件(https//wwwmainegov/agviewer/content/ag/985235c7cb954be28792a1252b4f8318/a4103ed831764ca099e64a320f1c3b32ht)中提到，此次泄露影响了77099名个人。

NPV加速器免费使用

在向受影响客户的信件中，Fidelity表示，某第三方在8月17日至8月19日期间，利用其最近创建的两个客户账户，未经授权地访问并获取了某些信息。Fidelity在8月19日发现此问题后，立即采取措施终止了该访问。

当被询问具体泄露了哪些数据时，Fidelity未透露详细信息，但一位发言人表示：

“我可以确认没有证据表明这是一宗勒索软件事件。同时也可以确认，没有资金被盗取，再次重申，账户没有被访问。”

Critical Start的网络威胁情报研究分析师Sarah Jones指出，虽然攻击者的具体动机尚不清楚，但收集信息很可能是他们的主要目标。Jones表示，攻击者可能利用这些信息进行未来的攻击，如身份盗窃、网络钓鱼活动或勒索软件索要。

“‘前沿’理论，即攻击者通过建立立足点来发起进一步攻击，是这类事件中的常见策略，”Jones说。“尽管Fidelity向客户保证其账户和资金没有被直接访问，但此次泄露引发了对个人信息安全的担忧，增加了身份盗窃、欺诈或其他恶意活动的风险。”

Jones还补充道，对金融机构的网络攻击通常涉及多种技术的结合，如网络钓鱼、社会工程学、利用漏洞，以及凭证填充等。为减少这些风险，Jones建议银行和金融机构应优先考虑强大的安全措施，包括多重身份验证、加密以及定期漏洞评估。

Fidelity网站应用的访问控制漏洞？

ColorTokens首席技术官Venky Raju表示，由于攻击者使用他们自己的账户访问其他客户账户，他认为Fidelity的客户网页应用程序可能存在安全配置不当的问题。Raju指出，此攻击向量已被广泛认识和理解，并在OWASPTop 10 Web Application Security Risks(https//useast2protectionsophoscom/d=owasporgampu=aHR0cHM6Ly9vd2FzcC5vcmcvd3d3LXByb2plY3QtdG9wLXRlbi8=ampi=NWY5MWQxOTI2MGExMjYwZTBmZTU0NTI4ampt=K1hpcTNpamZyYzJaMFU3cVhvQ1dHTWpXbTEwTXVtNGlqUkdDdXovbTV2Zz0=amph=4efe511f597048fc9ed7b84031946e7aamps=AVNPUEhUT0NFTkNSWVBUSVYpBcudK4cf6aCvbzDR0clyq4rydyujWZOFGJ5G7IpZQ)中排名第一。

Raju解释道，被称为“破坏性访问控制”的问题，可能允许通过提供某个帐户的唯一标识符来查看或编辑他人账户。

“攻击者可能利用此漏洞在Fidelity创建新账户并访问其他账户，”Raju推测，并指出他在看到网上泄露的个人信息后在LinkedIn(https//wwwlinkedincom/posts/venkyraju