美国证券交易委员会系统遭入侵,敏感信息被黑客用于非法获利

日前, 美国政府机构金融监管部门、美国证券交易委员会(SEC)发布声明,称其财务文件档案系统曾遭遇黑客入侵,且黑客可能已经利用窃取的信息非法获利。

证券交易委员会主席杰克·克莱顿(Jess Clayton)表示,尽管委员会一直尽力保护系统安全并着力应对网络威胁,但还是因为软件的漏洞而导致黑客入侵了委员会的 EDGAR(电子数据采集、分析和检索)系统。EDGAR 相当于一个数据库,存有公司官方档案、即将发布的公告以及过往财务记录(季度收入、盈利预警、并购收购计划书)等信息,每年处理的资料接近 170 万份。

黑客利用 EDGAR 测试文件组件中的漏洞,并设法获得了 EDGAR 后端的访问权限。因此,黑客可以访问系统储存的文件(尽管这些文件全部都是公开的)、还获取了委员会关于并购、收购、其他尚未公开的新闻稿,以及各大公司提前提交给 SEC 的有关市场交易的内容。

但我们相信,这次入侵没有造成系统性风险,黑客也没有获取个人识别信息,不会危及委员会的日常工作。

入侵早已发生,但本周才披露

SEC 没有说明入侵事件发生的具体时间,但是表示在 2016 年 5 月就已经发现并立即修补了这个漏洞。而 2017 年 8 月的新发现则让 SEC 认为,黑客在“2016 年的入侵事件”中获取的资料可能已经用于非法交易。暂时还不清楚黑客是否从非法交易中获利,或者是否将这些信息出售给了第三方。

这件事与 2010 年 2 月至 2014 年 11 月期间发生的入侵事件很像,当时一群位于乌克兰和俄罗斯的黑客攻击了多个公共新闻网站,获得了很多大型公司计划发布的新闻稿,并将这些新闻稿卖给其他炒股赚钱的人。

网络安全公司 High-Tech Bridge 首席执行官 Ilia Kolochenko 表示:

此次 SEC 的入侵事件可能比 Equifax 数据泄露事件后果更严重。攻击者可能会(利用窃取到的信息)操纵整个股票市场,攫取数十亿非法利润。这让那些没有内幕信息的合法投资(养老金、主权基金等)者面临大额亏损。 目前我们没有获取任何有关此次数据泄露的技术细节,因此我不会就攻击原因或攻击者做出任何评价。SEC 的声明不够清楚,可能会引起公众对国家的不满;而由于没公布黑客名称,人们也会对此议论纷纷。

也有专家推测,这应该是有预谋、有针对性的攻击,并非是单纯的随机攻击。因为系统中的内幕信息可以决定股票市场的走势,这其中牵扯到的利益巨大。

据路透社报道,最近美国政府问责局点名批评了 SEC,称其安保措施欠妥,没有做好敏感信息加密、使用了不受支持的软件,且没有安装调试完好的防火墙。

尽管美国财政部门很少受到黑客攻击,但类似事件也不是没有。2014 年,纳斯达克就遭到了恶意软件攻击。

近期爆出的入侵事件越来越多,这次尽管 SEC 迅速修复了漏洞,泄露出去的数据还是能造成很恶劣的影响。不论是企业还是个人,也许都该更警惕一些。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-09-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏域名资讯

我国域名注册保有量位居世界第二,顶级域名55个

近日,来自中国信息通信研究院的数据显示,截止2017年年底,我国域名注册保有量约5000万,位居世界第二。比2016年增长20%。其中,国家与地区代码...

2627
来自专栏安恒信息

纽约时报:美国在华设黑客数据中心

据纽约时报报道,美国国家安全局已经在全球近10万计算机上植入恶意软件实时监控,也可以为网络攻击搭建通道。 据悉,美国国安局大多数恶意...

2876
来自专栏黑白安全

印度国防部网站惊现"禪"字 ,印度方面推测是中国黑客做的

印度国防部的网站,昨天出事了。它的首页变成了这样。印度国防部网站出现汉字禅官方:没被黑客攻击印度国防部网站首页,赫然写着一个“禅”字。

813
来自专栏安恒信息

黑客组织Anonymous威胁将大规模攻击中国政府网站

黑客组织Anonymous威胁将大规模黑掉中国政府网站,并会泄露数以万计政府邮件地址细节。 该组织以“Operation Hong Kong”、“#OpHong...

2974
来自专栏网络安全防护

DDoS攻击日益加剧,互联网企业该如何应对?

最近这几年,对我们的生活影响最大改变最多的就是互联网。互联网的不断发展在给人们带来各种便利的同时,也带来了各种网络安全威胁,网络攻击从互联网诞生开始就从未停止。...

910
来自专栏安恒信息

斯诺登凭简单技术获取大量机密文件

美国《纽约时报》9日报道,正在调查“棱镜门”事件的美国情报官员透露,前防务承包商雇员爱德华·斯诺登只凭借比较简单的“网络爬虫”技术就获取了大量机密文件,...

3526
来自专栏云基础安全

3分钟了解DDoS攻击

漫画DDoS攻击:恶霸意图勒索或被恶意竞争对手收买(攻击意图);其召集一大群混混进入面馆霸桌,占满面馆空间及服务员资源(攻击原理);导致正常食客无法进入面馆消费...

8958
来自专栏大数据文摘

一洞观全球:看各国网络战防御能力

1674
来自专栏FreeBuf

卡巴斯基自证清白之路:安全领域将要“巴尔干化”了吗?

本周四(11 月 16 日),卡巴斯基实验室公布了关于 NSA 数据被盗事件的调查细节,力证自己并非是俄罗斯政府的间谍,只是有其他俄罗斯黑客利用了卡巴斯基的软件...

2248
来自专栏互联网高可用架构

解密支付平台建设资金底线防火墙的杀手级设计方案

1372

扫码关注云+社区