公民銀行數據洩漏，第三方供應商導致 340 萬條記錄曝光

一家共享第三方供應商發生的重大數據洩漏事件危及了公民銀行（Citizens Bank）和佛洛斯特銀行（Frost Bank）客戶的數據，勒索軟體組織 Everest 聲稱已竊取 340 萬條記錄並威脅要公開這些記錄。

「我們一直在處理一起涉及從第三方供應商處提取數據的事件，」公民銀行在週二的一份聲明中表示，證實了洩漏事件，但未確認數據損失的規模。佛洛斯特銀行也發表了類似的聲明，將該事件歸咎於第三方供應商，並表示洩漏內容「可能包括佛洛斯特銀行客戶的數據」。兩家銀行均未點名受影響的供應商，這是洩漏披露初期的常見做法。

勒索軟體組織 Everest 成立於 2020 年，已宣布對此次攻擊負責，並在其數據洩漏網站上將這兩家銀行列為受害者。該組織聲稱從公民銀行竊取了 340 萬條記錄，並從佛洛斯特銀行竊取了超過 25 萬個社會保障和納稅人識別號。ZeroFox 情報副總裁亞當·達拉（Adam Darrah）表示，證據表明是單一供應商遭到入侵，該供應商很可能為這些銀行處理帳單打印和稅務文件履行工作。

此次洩漏凸顯了供應鏈攻擊日益嚴重的重大威脅，網絡犯罪分子通過針對安全性較低的小型供應商來獲取大型企業客戶的數據。這一事件提醒金融機構，在審查和監控第三方供應商時需要進行廣泛的盡職調查。雖然兩家銀行均斷言其自身網絡未被入侵，但如此大規模數據丟失帶來的聲譽損害和潛在欺詐風險仍然巨大。Everest 威脅要在 4 月 25 日公布被盜文件，這為銀行及其客戶帶來了緊迫的挑戰。

本文僅供參考，不構成投資建議。