뱅크 오브 아메리카, 데이터 유출 인정, 공급업체 해킹당해

뱅크 오브 아메리카 코퍼레이션(BofA), 미국에서 두 번째로 큰 은행 기관은 고객에게 연기된 보상 계획에 참여하는 고객의 민감한 개인 정보가 노출되었을 수 있는 데이터 유출 가능성에 대해 경고하고 있습니다.

BofA가 텍사스 주 법무장관에게 제출한 데이터 유출 통지에 따르면, 보안 유출로 노출된 고객의 개인 식별 정보(PII)에는 고객 이름, 주소, 사회 보장 번호, 생년월일 및 계좌 및 신용 카드 번호를 포함한 재무 정보가 포함됩니다.

데이터 유출은 2023년 11월 3일, 뱅크 오브 아메리카의 공급업체인 Infosys McCamish Systems LLC(“Infosys” 또는 “IMS”)에서 발생한 것으로 보입니다.

메인 주 법무장관에게 제출된 최근 서류에서 IMS는 57,028명의 고객 데이터가 사건에서 노출되었다고 밝혔습니다. 사이버 공격 중에 무단 당사자가 IMS의 컴퓨터 네트워크 일부에 접근할 수 있었습니다.

사이버 보안 유출에 대해 알게 된 IMS는 제3자 포렌식 전문가의 도움을 받아 조사를 수행했습니다. 2023년 11월 24일, 은행에서 서비스하는 특정 연기된 보상 계획과 관련된 데이터가 영향을 받을 수 있다고 뱅크 오브 아메리카에 통보했습니다. 그러나 유출 중에 뱅크 오브 아메리카의 내부 네트워크는 전혀 손상되지 않았습니다.

2024년 2월 1일, Infosys는 최근 데이터 보안 사건의 영향을 받은 모든 사람에게 데이터 유출 통지서를 발송하여 그들의 정보가 어떤 것이 유출되었는지 나열했습니다.

유사하게, 뱅크 오브 아메리카도 2024년 2월 6일, 영향을 받은 소비자에게 데이터 유출 통지서를 발송하여 보안 유출에 대해 알렸습니다.

고객 정보의 오용에 대해 알지 못한다고 주장하는 뱅크 오브 아메리카는 영향을 받은 고객에게 신용 모니터링, 신원 도용 보험 및 사기 해결 서비스를 포함한 Experian의 신원 도용 보호 프로그램의 무료 2년 멤버십을 제공하여 사건을 상쇄하고 있습니다.

이 외에도 고객은 온라인 비밀번호와 PIN을 변경하고, 의심스러운 활동에 대해 계좌를 모니터링하며, 무단 거래를 즉시 보고하고, 신용 보고서에 보안 동결 또는 사기 경고를 설정할 것을 권장받고 있습니다.

뱅크 오브 아메리카 대 락빗

2023년 11월 4일, 랜섬웨어 갱단 락빗이 IMS 공격에 대한 책임을 주장하며 유출 중에 2,000개 이상의 시스템을 암호화했다고 주장했습니다.

락빗 랜섬웨어 서비스(RaaS) 운영은 2019년 9월에 알려졌으며, 이후 영국 로열 메일, 이탈리아 국세청, 주요 자동차 회사인 콘티넨탈, 오클랜드 시 등 수많은 유명 기관을 공격했습니다.