供应商数据泄露:一家德克萨斯州营销公司如何导致数十万银行客户信息泄露
一家鲜为人知的软件公司遭遇勒索软件攻击,揭示了美国金融基础设施中潜藏的风险
德克萨斯州普莱诺市——2025年8月14日,黑客利用Marquis软件解决方案公司防火墙的一个漏洞潜入系统,击中了美国银行业的“软肋”:一个由第三方供应商组成的庞大网络,这些供应商远离受监管的地方信用合作社或社区银行,处理着客户最敏感的信息。
Marquis公司作为全国700多家金融机构的数字营销和合规软件提供商,此次泄露事件导致至少40万人的个人数据外泄,涉及多个州,其中包括社会安全号码、出生日期、地址和金融账户信息。仅在缅因州,约4.3万居民在11月下旬收到了泄露通知,其中缅因州信用合作社的客户占了38,334例。
然而,这些原始数字只揭示了事件的部分真相。Marquis事件尤其令网络安全专家和监管机构感到震惊的是,它揭示了现代银行业的风险架构——一个相互依赖的网络,其中单一供应商的安全故障可能同时波及数百家机构。
“这正是供应链漏洞的体现,”一位因调查仍在进行而要求匿名的联邦银行监管机构官员表示,“那700家银行中的每一家都进行了供应商尽职调查,勾选了合规检查项,但客户的数据最终还是落入了犯罪分子手中。”
安全研究人员认为,攻击者与Akira勒索软件组织有关联,他们利用了Marquis公司SonicWall防火墙的弱点——这种边缘设备在2025年已成为复杂网络犯罪分子青睐的目标。法医调查人员确定,黑客在8月14日获得了未经授权的访问权限,窃取了包含客户数据的文件,并部署勒索软件加密了Marquis的系统。该公司在攻击发生后不久支付了赎金,但具体金额尚未披露。
尽管迅速支付了赎金,但据报道,被盗数据已出现在犯罪市场,多家律师事务所也已宣布进行集体诉讼调查。12月2日在德克萨斯州东区联邦法院提起的一项联邦诉讼,将Marquis公司和受影响机构之一的CoVantage信用合作社列为被告。
对于受此次泄露事件波及的金融机构而言,损失远不止于即时的通知费用和免费的信用监控服务。社区银行和信用合作社的声誉建立在个人关系和当地信任之上——然而,当达拉斯郊区的一个供应商将客户身份信息暴露给国际网络犯罪分子时,这一承诺便显得空洞无力。
受影响的机构名单堪称美国社区银行业的缩影:包括Cape Cod Five、Suncoast信用合作社、TowneBank等数十家机构,它们为从夏威夷到马萨诸塞州的客户提供服务。这些机构曾将营销和通信业务外包给Marquis,正是为了专注于服务储户的核心使命。现在他们面临着有关供应商监管和数据治理的棘手问题。
行业观察人士指出,许多被泄露的数据早于2020年,这引发了对Marquis公司数据保留做法的尖锐质疑。他们质疑,为什么多年前的“休眠”客户信息仍然存在于可通过互联网访问的活跃系统中?
Marquis公司将该漏洞描述为SonicWall软件中一个此前未知的零日漏洞,尽管安全研究人员已经记录了勒索软件组织在2025年期间对SonicWall SSL VPN漏洞的广泛利用。该公司在发现后立即聘请了网络安全专家并通知了执法部门,但直到10月27日才确定个人信息已被泄露——这一延迟让一些隐私倡导者感到不安。
受影响的个人将通过Epiq Privacy Solutions获得12至24个月的免费信用监控服务。Marquis公司坚称尚未发现被盗信息被实际滥用的证据,尽管专家警告称,被泄露的社会安全号码和金融数据可能在犯罪市场流通多年后才会被用于欺诈。
随着缅因州、爱荷华州、德克萨斯州、马萨诸塞州和新罕布什尔州的州检察长审查这些泄露通知,Marquis事件再次严峻地提醒我们,在现代金融互联互通的生态系统中,安全的强度取决于最薄弱的供应商——而这种弱点造成的后果并非由普莱诺市的董事会承担,而是由普通民众在查收邮件时发现又一封泄露通知信所承受。