SEC X賬户被黑客入侵顯示監管機構存在的網絡安全記錄存在缺陷-彭博社

Austin Weinstein, Jamie Tarabay

2024-01-12

2016年，該機構遭受了一次網絡攻擊，該攻擊影響了其企業備案數據庫，並允許黑客從非公開信息中獲利，據美國檢察官稱。

攝影師：Graeme Sloan/Bloomberg美國證券交易委員會X賬户本週早些時候遭到黑客攻擊，這凸顯了一個令人不安的事實：華爾街主要監管機構的網絡安全措施一再被發現存在缺陷。

該機構並未完全遵守聯邦網絡安全標準，包括去年其內部監督機構進行的一項審查發現的一個要求，即面向公眾的系統支持多因素身份驗證。一年前進行的一項獨立評估發現了該委員會安全措施的弱點，比如防止未經授權訪問網絡的協議。

美國證券交易委員會遠非近年來因網絡安全防禦不力而受到批評的唯一聯邦機構，但其在美國各地監管公司和市場的備受關注的角色使其成為黑客特別青睞的目標。2016年，該機構遭受了一次網絡攻擊，該攻擊影響了其企業備案數據庫，並允許黑客從非公開信息中獲利，據美國檢察官稱。

“我們昨天剛剛目睹了華盛頓的技術漏洞的最新情況，這也是證監會的一個真正低谷，”來自阿肯色州的共和黨議員弗倫奇·希爾在週三美國眾議院數字資產小組會議上説道。他表示，國會共和黨人正在致信證監會主席加里·根斯勒，要求對這次黑客攻擊進行調查。

證監會拒絕就其網絡安全政策發表評論。聯邦調查局正在調查週二的事件，一名黑客接管了X（前身為Twitter）上的證監會賬號。黑客隨後發佈了一篇虛假帖子，錯誤地聲稱監管機構已批准了現貨比特幣交易所交易基金的計劃，導致比特幣價格飆升。（該機構一天後批准了ETF計劃。）

美國證券交易委員會的X賬號在週二遭到篡改，發佈了一篇虛假帖子聲稱該機構已批准了現貨比特幣交易所交易基金的計劃。安娜·伊雷拉在彭博電視台上探討了此事件的後果。

X在一份聲明中表示，一名未知人士通過獲取相關電話號碼篡改了證監會的X賬號。聲明還指出，證監會尚未啓用雙因素認證——這是一種額外的安全層，隨着網絡攻擊的增加已成為組織的標準。目前尚不清楚證監會為何沒有設置額外的身份驗證。

訂閲《網絡安全簡報》，獲取獨家報道，深入瞭解黑客和網絡間諜的陰影世界，以及企業如何進行防禦。

代理機構X賬户的接管恰逢美國證券交易委員會（SEC）處於不利時機，該委員會最近對上市公司實施了新的監管規定，要求它們在四個工作日內披露網絡安全事件，作為加強企業網絡安全透明度的廣泛努力的一部分。今年10月，SEC還起訴了 SolarWinds Corp. ——該公司在2020年遭到俄羅斯黑客入侵，影響了企業和政府機構，指控其通過淡化安全風險來欺騙投資者。

SolarWinds 對這些指控提出了異議，並指責SEC“歪曲事實”。代表SolarWinds的 Latham & Watkins 的律師Serrin Turner在週四的一份聲明中表示，SEC在週二的黑客攻擊“突顯了任何組織的安全控制都不能假定完美實施，以及監管機構應該以極大的謹慎和謙卑來對待網絡安全。”

同時，根斯勒一直在強調企業加強數字安全的必要性。今年10月，他在X上發佈了一條提醒“保護您的金融賬户，並防範身份盜竊和欺詐。”他推薦的一項措施是多因素身份驗證。

閲讀更多：公司在如何遵守SEC網絡安全規定方面掙扎

2022年，白宮發佈了一項網絡安全戰略，指示各機構採取廣泛行動來加強其網絡安全。該戰略強調了多因素身份驗證的必要性，並將其描述為“聯邦政府安全基線的重要組成部分。”

證券交易委員會已經在實施行動方面取得了一些進展，其總監在九月的一封信中報告了這一點。但報告顯示，它在一些任務上仍然落後。具體來説，證券交易委員會在去年的審計中尚未配置所有面向公眾的系統以支持多因素身份驗證，總監説。

相反，證券交易委員會認為它“通常”符合標準，因為除了一個系統外，所有系統都已經遷移到使用Login.gov，這是一個更廣泛的聯邦政府訪問網站，需要雙因素身份驗證，總監的報告顯示。雖然證券交易委員會認為剩下的系統存在有限風險，但總監堅持認為，防釣魚身份驗證仍然是必要的，以防止黑客獲取對證券交易委員會網絡的訪問。

閲讀更多：證券交易委員會黑客事件具有安全措施不力的特徵：網絡公告

由公司Kearney & Co進行的對證券交易委員會數據安全控制的單獨評估發現，該機構並未一致實施限制對其系統訪問的程序。這項於2022年進行的審查指出，一些缺陷可以追溯至五年前。具體的弱點已被刪除，但研究發現這些漏洞部分是由於與 Covid 相關的遠程辦公政策造成的。

Kearney 最終得出結論，證券交易委員會的信息安全計劃不符合聯邦對“有效性”的定義。

去年，鬆懈的數據安全措施迫使證監會在其內部法庭前撤銷了42起執法案件。該機構發現一些執法人員能夠看到他們本不應看到的備忘錄。當時，證監會表示對這一疏忽感到遺憾，這被歸咎於缺乏適當的保障措施。

2016年，一羣東歐黑客侵入了監管機構的公司申報數據庫。黑客竊取了非公開的公司盈利報告並進行了交易，據法庭文件顯示，他們賺取了超過410萬美元。

去年九月，監管機構提議在同一數據庫中添加多因素認證。