详细内容或原文请订阅后点击阅览
因网络事件调查缺乏透明度,SEC 对洲际交易所罚款 1000 万美元
如果您延迟通知,您将支付罚款。这种方法的效果如何?
来源:安全实验室新闻频道因网络事件调查缺乏透明度,SEC 对洲际交易所罚款 1000 万美元
如果您延迟通知,您将支付罚款。这种方法的效果如何?
美国洲际交易所 (ICE) 公司将因未及时通知安全漏洞而被罚款 1000 万美元。这些指控是由美国证券交易委员会(SEC)提出的。
将支付罚款 SECICE 拥有并经营世界各地的金融交易所,包括纽约证券交易所 (NYSE),于 2021 年 4 月 15 日发现安全漏洞。随后,第三方通知该公司,虚拟专用网络 (VPN) 中的漏洞可能导致系统遭到破坏。
纽约证券交易所 VPN根据 SCI 法规的要求,公司必须立即向 SEC 通报任何安全事件,并在 24 小时内提供更新。然而,ICE 并没有遵守这些要求。相反,委员会本身联系了该公司,作为对可能存在此类网络漏洞的报告的评估的一部分。
ICE 用了四天的时间评估了该事件的影响,并得出结论认为影响较小。然而,一旦发生网络攻击,尤其是针对主要市场中介机构的网络攻击,每一秒都很重要,最多四天可能很关键。
调查发现,据信与政府有关的攻击者在受感染的 VPN 设备上使用恶意软件来收集流经该设备的数据,包括员工姓名、密码和多因素身份验证代码。这些数据可能允许攻击者访问内部公司网络。
ICE 安全团队确定攻击者的访问仅限于单个 VPN 设备。然而,人们发现他们能够提取一些 ICE 用户的 VPN 配置数据和元数据。