Атака на цепочку поставщиков стала причиной взлома Bank of America — многонациональной корпорации инвестиционно-банковских и финансовых услуг. Организация начала уведомлять клиентов о том, что в ноябре 2023 года взлом одного из её поставщиков услуг привёл к раскрытию конфиденциальной информации.
Точкой входа стала компания Infosys McCamish Systems (IMS), дочерняя структура Infosys BPM, которая специализируется на предоставлении решений для страхового и пенсионного секторов. IMS предоставляет услуги по плану отсроченных компенсаций Bank of America. Согласно заявлению IMS, поданному генеральному прокурору штата Мэн, ориентировочно 3 ноября 2023 года в компании произошел инцидент, в результате которого третья сторона получила несанкционированный доступ к системам организации, что привело к недоступности некоторых приложений IMS.
В уведомлении говорилось, что в результате взлома пострадали данные 57 028 клиентов Bank of America. Сведения включали имена и адреса граждан, номера социального страхования, кредитных карт и счетов. 4 ноября IMS уведомила Bank of America об утечке. Ответственность за атаку и шифрование более двух тысяч систем IMS взяла на себя группировка LockBit.
Это не первый случай, когда Bank of America подвергается кибератаке со стороны поставщиков. В прошлом мае компания Ernst & Young, предоставляющая услуги банку, была взломана бандой вымогателей Cl0p с помощью эксплойта нулевого дня в ПО для передачи файлов MOVEit. В этом инциденте также были раскрыты личные данные и финансовая информация клиентов Bank of America.
Многочисленные примеры подчёркивают тот факт, что крупные компании как Bank of America имеют зрелые протоколы кибербезопасности, отмечают эксперты портала IT Security Guru. В то же время как небольшие организации, например, ISM, не уделяют должного внимания вопросам безопасности, хотя обязаны это делать.
По мнению Тома Келлерманна, старшего вице-президент по киберстратегии компании Contrast Security, «выбирая менее защищённых поставщиков услуг, киберпреступники могут успешно скомпрометировать крупные банки, а регуляторы должны установить более высокие стандарты кибербезопасности для всех поставщиков услуг». При этом ситуация не освобождает от ответственности такие организации, как Bank of America. Возникают вопросы, провёл ли банк комплексную проверку после первой кибератаки на цепочку поставщиков, чтобы гарантировать безопасность работы с партнёрами. После осенней кибератаки ответ на этот вопрос, вероятно, будет отрицательным.
Эрфан Шадаби, эксперт по кибербезопасности из компании Comforte AG, отмечает, что очередное нарушение безопасности говорит о необходимости того, чтобы финансовые учреждения применяли упреждающий подход к кибербезопасности, используя возможности непрерывного мониторинга и анализа угроз для обнаружения угроз и реагирования на них в режиме реального времени.
