美国证券交易委员会系统遭入侵，敏感信息被黑客用于非法获利

日前， 美国政府机构金融监管部门、美国证券交易委员会（SEC）发布声明，称其财务文件档案系统曾遭遇黑客入侵，且黑客可能已经利用窃取的信息非法获利。

证券交易委员会主席杰克·克莱顿（Jess Clayton）表示，尽管委员会一直尽力保护系统安全并着力应对网络威胁，但还是因为软件的漏洞而导致黑客入侵了委员会的 EDGAR（电子数据采集、分析和检索）系统。EDGAR 相当于一个数据库，存有公司官方档案、即将发布的公告以及过往财务记录（季度收入、盈利预警、并购收购计划书）等信息，每年处理的资料接近 170 万份。

黑客利用 EDGAR 测试文件组件中的漏洞，并设法获得了 EDGAR 后端的访问权限。因此，黑客可以访问系统储存的文件（尽管这些文件全部都是公开的）、还获取了委员会关于并购、收购、其他尚未公开的新闻稿，以及各大公司提前提交给 SEC 的有关市场交易的内容。

但我们相信，这次入侵没有造成系统性风险，黑客也没有获取个人识别信息，不会危及委员会的日常工作。

入侵早已发生，但本周才披露

SEC 没有说明入侵事件发生的具体时间，但是表示在 2016 年 5 月就已经发现并立即修补了这个漏洞。而 2017 年 8 月的新发现则让 SEC 认为，黑客在“2016 年的入侵事件”中获取的资料可能已经用于非法交易。暂时还不清楚黑客是否从非法交易中获利，或者是否将这些信息出售给了第三方。

这件事与 2010 年 2 月至 2014 年 11 月期间发生的入侵事件很像，当时一群位于乌克兰和俄罗斯的黑客攻击了多个公共新闻网站，获得了很多大型公司计划发布的新闻稿，并将这些新闻稿卖给其他炒股赚钱的人。

网络安全公司 High-Tech Bridge 首席执行官 Ilia Kolochenko 表示：

此次 SEC 的入侵事件可能比 Equifax 数据泄露事件后果更严重。攻击者可能会（利用窃取到的信息）操纵整个股票市场，攫取数十亿非法利润。这让那些没有内幕信息的合法投资（养老金、主权基金等）者面临大额亏损。 目前我们没有获取任何有关此次数据泄露的技术细节，因此我不会就攻击原因或攻击者做出任何评价。SEC 的声明不够清楚，可能会引起公众对国家的不满；而由于没公布黑客名称，人们也会对此议论纷纷。

也有专家推测，这应该是有预谋、有针对性的攻击，并非是单纯的随机攻击。因为系统中的内幕信息可以决定股票市场的走势，这其中牵扯到的利益巨大。

据路透社报道，最近美国政府问责局点名批评了 SEC，称其安保措施欠妥，没有做好敏感信息加密、使用了不受支持的软件，且没有安装调试完好的防火墙。

尽管美国财政部门很少受到黑客攻击，但类似事件也不是没有。2014 年，纳斯达克就遭到了恶意软件攻击。

近期爆出的入侵事件越来越多，这次尽管 SEC 迅速修复了漏洞，泄露出去的数据还是能造成很恶劣的影响。不论是企业还是个人，也许都该更警惕一些。