一家美国银行表示，至少有超过 150 万客户的姓名和社会安全号码在 12 月从其计算机中被盗。

在本月给缅因州总检察长办公室的一份声明中，Flagstar 银行表示，它在 2021 年 12 月至 2021 年 4 月期间遭到入侵。然而，该组织的系统管理员表示，他们直到现在才发现入侵。6 月 2 日，他们发现犯罪分子“访问和/或获取”了包含 1,547,169 人个人信息的文件。

“Flagstar 经历了涉及未经​​授权访问我们网络的网络事件，”该银行在通过电子邮件发送给The Register的一份声明中表示。

“在得知事件后，我们立即启动了我们的事件响应计划，聘请了在处理此类事件方面经验丰富的外部网络安全专业人员，并将此事报告给联邦执法部门，”它继续说道。“我们继续正常运营所有服务。”

该银行已为受影响的客户提供身份盗窃保护服务，并于上周晚些时候邮寄信件 [ PDF ]，通知所有可能数据被盗的人。“我们没有证据表明任何信息被滥用，”信中说。

这家银行和抵押贷款机构总部位于密歇根州，在全国拥有 150 多家分支机构，并在 28 个州设有住房贷款办事处。

Flagstar 还遭受了安全漏洞，2020 年末，Clop 团伙利用 Accellion 遗留文件传输设备中的一个零日漏洞，并窃取了属于 100 多个组织的数据，包括Royal Dutch Shell、国防承包商Bombardier和 Flagstar。那次攻击暴露了大约 148 万客户的银行账户信息、社会安全号码、护照数据和其他私人信息。

在那次入侵之后，这些客户起诉了该银行，2021 年 9 月，Flagstar 同意支付 590 万美元来解决诉讼。数据被泄露的人有权获得三年的免费信用监控服务，或获得 99 至 316 美元的赔偿。

根据法庭文件，该银行还同意对其第三方供应商风险管理计划进行“各种增强”以及“其他数据隐私增强”。

此外，Flagstar 同意监控暗网是否有任何迹象表明人们的个人数据被出售，或与安全漏洞相关的其他欺诈活动。

在最新的违规披露后向The Register提供的一份声明中，该银行的一位发言人说：“我们非常认真地对待我们网络的安全和委托给我们的个人信息。”

但在不到两年的时间里发生了两次重大的数据安全漏洞之后，也许是时候制定新的安全策略了