日前, 美国政府机构金融监管部门、美国证券交易委员会(SEC)发布声明,称其财务文件档案系统曾遭遇黑客入侵,且黑客可能已经利用窃取的信息非法获利。
证券交易委员会主席杰克·克莱顿(Jess Clayton)表示,尽管委员会一直尽力保护系统安全并着力应对网络威胁,但还是因为软件的漏洞而导致黑客入侵了委员会的 EDGAR(电子数据采集、分析和检索)系统。EDGAR 相当于一个数据库,存有公司官方档案、即将发布的公告以及过往财务记录(季度收入、盈利预警、并购收购计划书)等信息,每年处理的资料接近 170 万份。
黑客利用 EDGAR 测试文件组件中的漏洞,并设法获得了 EDGAR 后端的访问权限。因此,黑客可以访问系统储存的文件(尽管这些文件全部都是公开的)、还获取了委员会关于并购、收购、其他尚未公开的新闻稿,以及各大公司提前提交给 SEC 的有关市场交易的内容。
但我们相信,这次入侵没有造成系统性风险,黑客也没有获取个人识别信息,不会危及委员会的日常工作。
SEC 没有说明入侵事件发生的具体时间,但是表示在 2016 年 5 月就已经发现并立即修补了这个漏洞。而 2017 年 8 月的新发现则让 SEC 认为,黑客在“2016 年的入侵事件”中获取的资料可能已经用于非法交易。暂时还不清楚黑客是否从非法交易中获利,或者是否将这些信息出售给了第三方。
这件事与 2010 年 2 月至 2014 年 11 月期间发生的入侵事件很像,当时一群位于乌克兰和俄罗斯的黑客攻击了多个公共新闻网站,获得了很多大型公司计划发布的新闻稿,并将这些新闻稿卖给其他炒股赚钱的人。
网络安全公司 High-Tech Bridge 首席执行官 Ilia Kolochenko 表示:
此次 SEC 的入侵事件可能比 Equifax 数据泄露事件后果更严重。攻击者可能会(利用窃取到的信息)操纵整个股票市场,攫取数十亿非法利润。这让那些没有内幕信息的合法投资(养老金、主权基金等)者面临大额亏损。 目前我们没有获取任何有关此次数据泄露的技术细节,因此我不会就攻击原因或攻击者做出任何评价。SEC 的声明不够清楚,可能会引起公众对国家的不满;而由于没公布黑客名称,人们也会对此议论纷纷。
也有专家推测,这应该是有预谋、有针对性的攻击,并非是单纯的随机攻击。因为系统中的内幕信息可以决定股票市场的走势,这其中牵扯到的利益巨大。
据路透社报道,最近美国政府问责局点名批评了 SEC,称其安保措施欠妥,没有做好敏感信息加密、使用了不受支持的软件,且没有安装调试完好的防火墙。
尽管美国财政部门很少受到黑客攻击,但类似事件也不是没有。2014 年,纳斯达克就遭到了恶意软件攻击。
近期爆出的入侵事件越来越多,这次尽管 SEC 迅速修复了漏洞,泄露出去的数据还是能造成很恶劣的影响。不论是企业还是个人,也许都该更警惕一些。