一个黑客组织在渗透到一家金融软件公司的网络后采取了令人惊讶的策略。他们向美国证券交易委员会(SEC)报告了这一违规行为。
DataBreaches.net最初报道了该事件,该事件是由 ALPHV / BlackCat 发起的,该组织以破坏MGM Resorts和Reddit等不同实体而闻名。据报道,黑客于 11 月 7 日攻破了金融科技公司 MeridianLink 的服务器,在未加密的情况下窃取了公司数据。然而,当企业忽视直接谈判时,黑客通过向 SEC 提交报告来加大压力。
他们这样做是引用了美国证券交易委员会今年夏天通过的一项新规定,该规定要求遭受“重大网络安全事件”影响的公司在四个工作日内向该机构报告。
然而,四天的要求可能尚未生效。至少有一份官方表格声称该规则在《联邦公报》发布之日起 90 天后生效(它们似乎已于 8 月 4 日发布,使得所谓的生效日期为 11 月 2 日)或 12 月 18 日。但《 联邦公报》文件称,“关于遵守表格 8-K 第 1.05 项和表格 6-K [涉及四天要求的部分]中的事件披露要求,除小型报告公司外的所有注册人必须于 12 月 18 日开始遵守,2023 年。”更令人困惑的是,路透社10 月份报道称,该规定将于 12 月 15 日生效。
Engadget 联系了 SEC,以澄清该规则是否已生效。如果收到回复,我们将更新这篇文章。
MeridianLink 告诉BleepingComputer ,它很快就遏制了这一威胁。该公司写道:“根据我们迄今为止的调查,我们没有发现任何未经授权访问我们生产平台的证据,并且该事件造成的业务中断程度很小。”该公司表示,仍在试图确定是否有任何消费者个人信息被泄露,并承诺如果有的话将通知受影响的各方。
无论 SEC 是否有意愿(或愿意)对 MeridianLink 未能在四个工作日内报告这一事件采取任何行动,具有讽刺意味的是,该规则可能会成为网络攻击者的新工具。也许他们现在可以直接将这些要求出卖给山姆大叔,而不是联系客户或打电话来加强控制并迫使公司遵守他们的要求。
本文最初发表在 Engadget 上:https://ift.tt/GknsoSh