JPMorgan ujawnia wyciek danych inwestorów po incydencie w kancelarii Fried Frank – sygnał alarmowy dla ryzyka stron trzecich

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja luki

Incydenty u dostawców i partnerów (third-party / supply-chain) od lat są jedną z najtrudniejszych klas zdarzeń bezpieczeństwa: organizacja „A” może mieć dobre kontrole, ale dane i procesy i tak „wypływają” do organizacji „B” (np. kancelarii, audytora, operatora transferu plików). Kancelarie prawne to szczególnie wrażliwy węzeł – przechowują dokumenty transakcyjne, listy inwestorów, dane identyfikacyjne i korespondencję, często w jednym miejscu i w formie gotowej do nadużyć.

W skrócie

  • JPMorgan Chase poinformował część inwestorów o naruszeniu danych wynikającym z incydentu u zewnętrznej kancelarii Fried, Frank, Harris, Shriver & Jacobson LLP.
  • Według treści notyfikacji „nieuprawniona osoba trzecia” skopiowała pliki z współdzielonego dysku sieciowego kancelarii.
  • Ujawnione dane obejmują m.in. imiona i nazwiska, dane kontaktowe, numery rachunków, SSN oraz numery paszportów / innych dokumentów rządowych.
  • JPMorgan wskazał, iż dotyczy to 659 osób (inwestorów funduszu private equity) i iż systemy banku nie zostały naruszone.
  • Ten sam incydent był wcześniej łączony z ujawnieniami dotyczącymi Goldman Sachs (grudzień 2025).
  • Wątek ma też wymiar prawny: kancelaria mierzy się z pozwami związanymi z ochroną danych.

Kontekst / historia / powiązania

SecurityWeek opisał sprawę 13 stycznia 2026 r., wskazując na wspólny mianownik: ten sam incydent w Fried Frank skutkował komunikacją do inwestorów zarówno po stronie JPMorgan, jak i wcześniej Goldmana.
Bloomberg informował 24 grudnia 2025 r., iż Goldman ostrzegł inwestorów, iż ich dane mogły zostać ujawnione w wyniku naruszenia u „jednej z kancelarii” – wprost wskazując Fried Frank.

Bloomberg Law opisywał następnie pozew dotyczący zarzutów niewystarczającej ochrony danych i ryzyka długotrwałych skutków dla poszkodowanych.

Analiza techniczna / szczegóły luki

Najważniejszy techniczny trop z ujawnień to sformułowanie, iż atakujący „skopiował pliki z współdzielonego dysku sieciowego” (shared network drive).

W praktyce taki opis najczęściej oznacza jeden z poniższych scenariuszy (albo ich kombinację):

  1. Kompromitacja konta i dostępu do zasobu plikowego
    • kradzież poświadczeń (phishing, credential stuffing, malware),
    • ominięcie MFA (np. through token theft / session hijack),
    • nadużycie uprawnień nadanych zbyt szeroko (brak least privilege).
  2. Dostęp lateralny po wejściu do sieci kancelarii
    Po uzyskaniu przyczółka (VPN/VDI/endpoint) atakujący szuka udziałów SMB/NFS, indeksuje katalogi i wykonuje masowe kopiowanie (często z automatyzacją i kompresją).
  3. „Ciche” wyprowadzenie danych bez szyfrowania (bez klasycznego ransomware)
    Wyciek z udziału sieciowego bywa realizowany bez widocznego szyfrowania – co utrudnia wczesne wykrycie, jeżeli nie ma DLP, monitoringu anomalii transferu i sensownej telemetrii.

SecurityWeek podkreśla, iż nie wskazano sprawcy, nie widać też publicznego przyznania się grup ransomware; autor dopuszcza jednak wariant, iż mogło dojść do zdarzenia ransomware (np. z zapłatą okupu) – ale to pozostaje spekulacją na bazie ograniczonych informacji.

Praktyczne konsekwencje / ryzyko

Zakres ujawnionych danych (PII + identyfikatory rządowe + numery rachunków) jest „wysokowartościowy”, bo umożliwia nie tylko phishing, ale też wielokanałowe nadużycia:

  • Spear-phishing / BEC podszywający się pod bank, fundusz lub kancelarię (dane pasują do narracji i zwiększają wiarygodność).
  • Próby przejęcia kont / procesów KYC (PII + dokumenty) – szczególnie tam, gdzie procesy obsługi inwestorów dopuszczają „odzyskanie dostępu” na podstawie danych osobowych.
  • Fraud finansowy: zmiany danych do wypłat, fałszywe dyspozycje, social engineering na infoliniach.
  • Długofalowe ryzyko tożsamościowe – w pozwie opisywanym przez Bloomberg Law pada teza o potencjalnie wieloletnich skutkach dla poszkodowanych.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji (bank/fundusz) dotkniętej incydentem strony trzeciej

  1. TPRM „na serio” (Third-Party Risk Management)
    • twarde wymagania dot. MFA, EDR, logowania dostępu do udziałów plikowych, segmentacji i szyfrowania,
    • audyt uprawnień do danych klientów/inwestorów i zasada minimalizacji.
  2. Kontrole danych, nie tylko dostawcy
    • klasyfikacja danych i ograniczanie „wypływu” PII do kancelarii do absolutnego minimum,
    • DLP / CASB dla kanałów wymiany dokumentów, znakowanie i monitoring masowych eksportów.
  3. Wymogi kontraktowe i „right to verify”
    • SLA na czas powiadomienia o incydencie, obowiązek dostarczenia ustaleń (w zakresie możliwym prawnie),
    • możliwość weryfikacji remediacji (np. testy, attestation, raport z audytu).
  4. Przygotowana komunikacja i procedury
    FTC wprost rekomenduje szybkie uruchomienie zespołu, forensics, ograniczenie dalszej utraty danych oraz przejrzysty plan powiadomień i działań ochronnych.

Dla osób, których dane mogły zostać ujawnione (inwestorzy)

  • monitoruj alerty dot. kont i rozważ zamrożenie kredytu / alerty fraudowe (w zależności od jurysdykcji),
  • uważaj na wiadomości „o incydencie” (phishing często żeruje na realnych wyciekach),
  • jeżeli w grę wchodzą numery dokumentów – rozważ działania zgodne z lokalnymi procedurami (wymiana dokumentu, zastrzeżenia itd.).
    Wskazówki dot. powiadamiania i kroków ochronnych po wycieku PII FTC opisuje w przewodniku reagowania na naruszenia.

Różnice / porównania z innymi przypadkami

  • To nie jest „klasyczny breach banku”, gdzie atakujący wchodzi do core-systemów. Tu najważniejsze jest, iż „blast radius” powstał u partnera (kancelarii), a bank komunikuje, iż jego środowisko nie zostało naruszone.
  • Ten case pokazuje też, iż profesjonalne usługi (legal, advisory) są atrakcyjnym celem: w jednym miejscu kumulują dane wielu klientów, często o wysokiej wartości (HNWI, fundusze, transakcje M&A).

Podsumowanie / najważniejsze wnioski

  • Incydent w Fried Frank to przykład, jak ryzyko stron trzecich materializuje się „łańcuchowo” – komunikacja dotyka wielu instytucji naraz (JPMorgan, wcześniej Goldman).
  • Techniczny opis („skopiowanie plików z udziału sieciowego”) sugeruje scenariusz kompromitacji dostępu i ekstrakcji danych, choćby bez widocznych oznak ransomware.
  • Największą lekcją dla rynku jest konieczność przeniesienia nacisku z „czy dostawca ma politykę” na „czy dostawca ma mierzalne kontrole, telemetrykę i minimalny dostęp do danych”.

Źródła / bibliografia

  1. SecurityWeek – „After Goldman, JPMorgan Discloses Law Firm Data Breach”, 13 stycznia 2026. (SecurityWeek)
  2. Bloomberg – informacja o ostrzeżeniu Goldmana i wskazaniu kancelarii Fried Frank, 24 grudnia 2025. (Bloomberg)
  3. Bloomberg Law – opis pozwu dot. naruszenia danych w Fried Frank, 24 grudnia 2025 (aktualizacje tego samego dnia). (Bloomberg Law)
  4. NIST CSRC – status i odniesienie do SP 800-61 (Rev. 2 wycofana w 2025 r.; wskazanie następcy). (csrc.nist.gov)
  5. FTC – „Data Breach Response: A Guide for Business” (zalecenia operacyjne dot. reagowania i notyfikacji). (ftc.gov)
Idź do oryginalnego materiału
  1. Strona główna
  2. Oszustwa
  3. JPMorgan ujawnia wyciek danych inwestorów po incydencie w kancelarii Fried Frank – sygnał alarmowy dla ryzyka stron trzecich

Powiązane

Rezerwujesz nocleg na ferie? Uważaj na te oszustwa!

Rezerwujesz nocleg na ferie? Uważaj na te oszustwa!

2 dni temu
Pomyłka czy oszustwo? To zróbcie, gdy dostaniecie obcy przelew BLIK

Pomyłka czy oszustwo? To zróbcie, gdy dostaniecie obcy przel...

2 dni temu
Microsoft Teams „secure by default” od 12 stycznia 2026: co dokładnie się zmienia i jak przygotować organizację

Microsoft Teams „secure by default” od 12 stycznia 2026: co ...

3 dni temu
Masz Instagrama? Twoje dane mogą być zagrożone. Użytkownicy dostają alarmujące maile

Masz Instagrama? Twoje dane mogą być zagrożone. Użytkownicy ...

3 dni temu
Meta zaprzecza wyciekowi danych 17,5 mln kont Instagrama. Skąd fala maili resetu hasła i co robić?

Meta zaprzecza wyciekowi danych 17,5 mln kont Instagrama. Sk...

4 dni temu
FBI ostrzega: północnokoreańska grupa Kimsuky używa złośliwych kodów QR w spear-phishingu („quishing”)

FBI ostrzega: północnokoreańska grupa Kimsuky używa złośliwy...

6 dni temu
AI Elona Muska wywołało polityczną burzę. Czy Wielka Brytania zablokuje X?

AI Elona Muska wywołało polityczną burzę. Czy Wielka Brytani...

6 dni temu
Microsoft wycofuje limit 2 000 zewnętrznych odbiorców w Exchange Online. Co to zmienia dla bezpieczeństwa i masowej wysyłki?

Microsoft wycofuje limit 2 000 zewnętrznych odbiorców w Exch...

1 tydzień temu

Polecane

Nie daj się oszukać metodą na podszywacza. Ogólnopolska kampania BLIK i polskiej Policji

Nie daj się oszukać metodą na podszywacza. Ogólnopolska kamp...

1 dzień temu
Pomyłka z walizką i działania minersko-pirotechniczne na krakowskim lotnisku

Pomyłka z walizką i działania minersko-pirotechniczne na kra...

1 tydzień temu
RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

1 tydzień temu
Maduro przed sądem w Nowym Jorku: Zostałem porwany. Były przywódca Wenezueli odpiera zarzuty

Maduro przed sądem w Nowym Jorku: Zostałem porwany. Były prz...

1 tydzień temu
Niewybuchy w lesie. Mieszkaniec powiadomił służby

Niewybuchy w lesie. Mieszkaniec powiadomił służby

2 tygodni temu
"Przeraźliwe huki i strzały – tak się nie da żyć". O strzelaniu w Sylwestra mieszkańcy Rzeszowa.

"Przeraźliwe huki i strzały – tak się nie da żyć". O strzela...

2 tygodni temu
Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Mazowieckim pułku saperów w Kazuniu

Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Ma...

3 tygodni temu
One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię w Bondi

One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię...

4 tygodni temu
Dywersja na kolei. Interpol opublikował czerwone noty

Dywersja na kolei. Interpol opublikował czerwone noty

4 tygodni temu