美国软件供应商Accellion遭骇余波荡漾，受害者纷纷出面指责

继华盛顿州审计官办公室在2月初披露，因所使用的第三方档案传输服务Accellion遭到骇客入侵而造成资料外泄事件之后，上周包括全球知名律师事务所Jones Day与连锁商店Kroger也纷纷爆出资料外泄事件，而源头同样是Accellion，再度显现出软件供应链遭骇的严重性。

成立于1999年的Accellion为一私有云端解决方案供应商，定位为企业内容防火墙供应商，专注于提供安全的档案分享与协作服务，允许使用者自任何装置存取或编辑组织内容。

Accellion是在今年的1月12日坦承遭到骇客攻击，指出骇客透过零时差漏洞攻陷其档案传输设备（File Transfer Appliance，FTA）软件，但该公司在察觉攻击行动的72小时之内就修补了相关漏洞，且只有不到50个客户受到波及。

然而，由于Accellion拥有许多大型客户，使得事态更形严重。例如华盛顿州审计官办公室已确认至少有160万名民众资料因此外泄，其他Accellion用户包括律师事务所Jones Day的内部资料也被骇客对外公开，连锁商店Kroger亦于上周揭露其资料外泄事故。

根据华尔街日报的报导，骇客是在2月3日入侵Jones Day网络，宣称取得了100GB的Jones Day资料，并借此向Jones Day勒索，由于Jones Day拒绝支付赎金，使得骇客开始于暗网中散布Jones Day的机密资料。

另一方面，Jones Day则向该报表示，该公司并未遭遇勒索软件攻击，而是因为Accellion遭到骇客攻击而间接受害。

Jones Day为一总部位于美国的国际律师事务所，它除了是全美第五大律师事务所之外，也是美国前任总统川普（Donald Trump）的外部法律顾问，此一资料外泄事件可能间接危及这家事务所众多知名委托人。

至于Kroger则为美国的零售业者，它在全美有接近3,000家的超市与170家的珠宝门市，为纽约股市的上市公司。

Kroger在上周发布了新闻稿，直接点名是因Accellion才造成该公司的资料外泄，但相信只有不到1%的客户资料外泄，主要是Kroger Health与Money Services客户受到影响，且客户的金融卡资料或账号密码并未外泄。

Kroger说自己是在1月23日收到Accellion的通知，当时立即停止使用Accellion的档案传输服务，并旋即通知执法机关与展开调查。

而BleepingComputer则报导，该资安事件亦波及了新西兰的储备银行、澳洲的证券与投资委员会（ASIC），以及哈佛商学院等Accellion用户。

华尔街日报引述商业顾问公司FTI Consulting的看法指出，来自Accellion客户的指责才正要开始，最终很可能会透过司法程序来究责。