SEC因黑客披露而處以罰款是SolarWinds最新的後果 - 彭博社

美國證券交易委員會（SEC）總部位於華盛頓特區，美國。

攝影師：Kent Nishimura/Bloomberg在美國確定俄羅斯間諜與SolarWinds公司黑客攻擊相關的眾多受害者遭到侵害近四年後，影響仍在安全行業中持續發酵。

美國證券交易委員會週二表示，四家公司——Unisys公司、Avaya Holdings公司、Mimecast有限公司和Check Point軟件技術有限公司——在其公開聲明中“疏忽地最小化”了他們受到攻擊的程度。SEC宣佈這些公司將共同支付近700萬美元的罰款以解決所指控的違規行為。

安全研究人員在2020年發現，黑客侵入了SolarWinds並在一款廣泛使用的軟件中安裝了所謂的後門。攻擊者利用感染的程序滲透了全球多達18,000個計算機系統，包括九個聯邦機構和不到100家公司，白宮表示。

網絡公司常常將自己宣傳為保護者，阻擋網絡犯罪分子和國家級攻擊者，比如那些入侵SolarWinds的俄羅斯人。

這場間諜活動 引發了網絡安全界的一陣沮喪，因為一些負責保護客户的領先公司也受到了影響。這也引發了關於被黑客攻擊的組織何時應披露其被入侵的質疑。美國證券交易委員會（SEC）此前曾指控SolarWinds誤導投資者有關該事件的情況，而 法官隨後對此進行了駁回，這對委員會監管網絡安全的能力造成了打擊。

本週，該機構詳細説明了公司在多大程度上被指控淡化黑客對其自身系統影響的情況。通過包含這些細節，SEC也在表明其希望追究公司的責任的方式。

• Unisys，一家IT諮詢公司，將支付400萬美元以解決 SEC的指控，該公司在明知黑客實際上已經入侵併竊取數據的情況下，仍以“假設性術語”討論了一次泄露事件。SEC進一步指控該公司的網絡安全人員未能及時向高管和法律部門報告該泄露事件——以及2022年的另一場黑客攻擊。Unisys發言人Patricia Gonzalez表示，該公司“建設性地解決了”SEC的指控，並且該機構“認可了我們的自願和全面合作”。
• Avaya，一家提供商業協作軟件的公司，預計將支付100萬美元的民事罰款。Avaya在2021年的披露中表示，“沒有當前證據”表明“我們的其他內部系統”被訪問，而當時它知道黑客已經進入了其使用的雲存儲系統中的至少145個共享文件，SEC表示。公司發言人Julianne Embry表示，Avaya很高興能夠解決此事，SEC認可了其合作，並且該公司“採取了一些措施來增強”其網絡安全。
• Mimecast，一家電子郵件安全公司，預計將支付99萬美元的民事罰款。 SEC表示，該公司在文件中疏忽地未披露有關其通過SolarWinds黑客攻擊的泄露的信息，包括“受影響客户的數量眾多”和攻擊者竊取的源代碼部分。該公司當時認為自己遵守了披露義務，並且在事件後對客户保持了透明，發言人Timothy Hamilton表示。
• Check Point，另一家網絡安全公司，將支付99.5萬美元的罰款， 根據SEC的説法。監管機構表示，Check Point在2020年開始了一項內部調查，發現與SolarWinds黑客攻擊相關的各種惡意活動。然而，該公司並未更新相關的風險披露，並在年度報告中繼續以“通用方式”描述“其網絡安全風險”，監管機構表示。Check Point發言人Liz Wu表示，SEC的和解在2023年的公司文件中進行了討論，Check Point“沒有發現任何客户數據、代碼或其他敏感信息在此次泄露中被訪問”的證據。Wu表示，Check Point決定與SEC合作並解決“爭議”，“使公司能夠繼續專注於幫助客户抵禦全球的網絡攻擊”。

科技公司需要保護數據，以保護他們的聲譽並尋找新業務，證券交易委員會（SEC）表示。他們還有敏感數據，這些數據對間諜來説太有誘惑力，給他們的安全工作增加了壓力。

兩位SEC委員對處罰表示不同意見。在SEC宣佈和解的當天，委員赫斯特·皮爾斯（Hester Peirce）和馬克·烏耶達（Mark Uyeda）發表了他們的 聲明，稱委員會是在“事後諸葛亮”。“委員會需要開始將遭受網絡攻擊的公司視為犯罪的受害者，而不是犯罪者，”他們説。

我們本週學到了什麼

巴勒斯坦人在以色列空襲清真寺後檢查損失。攝影師：阿赫邁德·薩利姆（Ahmad Salem）/彭博社聯邦調查局（FBI）正在調查泄露的機密文件，這些文件詳細説明了以色列準備對伊朗進行報復的情況，因為官員們試圖遏制又一次令人尷尬的美國情報秘密泄露。

聯邦調查局在週二的一份聲明中表示，局方正在調查這一泄露事件，並“與國防部和情報界的合作伙伴密切合作”，但沒有提供更多細節。

上週晚些時候，兩份泄露的文件在Telegram消息平台上出現。根據美國的地理空間和信號情報，它們報告稱以色列進行了秘密無人機活動，並準備了彈藥——包括遠程空射彈道導彈——以應對計劃中的對伊朗的報復。

這些信息僅暴露了有限的內容。但這是美國情報機構的又一次失敗，距離一名21歲的空軍國民警衞隊成員泄露關於俄羅斯在烏克蘭戰爭的秘密地圖、更新和評估已經過去一年半。

我們正在閲讀的內容

• 俄羅斯 用深度偽造視頻抹黑了卡馬拉·哈里斯，微軟發現。
• 伊朗 黑客成功兜售 從特朗普競選中盜取的電子郵件，路透社報道。
• 為什麼 1,500名朝鮮士兵 引起了世界的關注。
• 如何 威斯康星州計劃 確保其選舉安全。
• 認識這位 追蹤數十億 加密詐騙和盜竊的蒙面義警。
• 歐盟表示 俄羅斯對摩爾多瓦 進行了“前所未有”的選舉干預。
• 美國情報機構如何 決定發出警報 關於外國干預。

釣魚攻擊

你帶夠全班的人了嗎，艾倫？

**有新聞線索嗎？**你可以聯繫傑克·布萊伯格，郵箱是 [email protected]。你也可以使用我們的 SecureDrop 安全匿名地發送文件給我們。

更多來自彭博社

獲取每日科技資訊 和更多彭博科技週刊到你的郵箱：

• 遊戲進行中 瞭解視頻遊戲行業的動態
• 電力開啓 獲取蘋果新聞、消費科技新聞等
• 屏幕時間 瞭解好萊塢與硅谷的碰撞
• 聲音片段 報道播客、音樂產業和音頻趨勢
• 問與AI 解答你關於人工智能的所有問題