每日經(jīng)濟新聞 2017-09-22 18:25:31
美國證券交易委員會(SEC)在當(dāng)?shù)貢r間本周三晚披露稱,SEC在去年遭到黑客入侵,但黑客可能利用SEC存在的漏洞從事非法內(nèi)幕交易的行為在今年8月才被SEC獲悉。此外美國國土安全局的一份周報顯示,安全局早在今年1月23日就已獲悉SEC電腦中存在五個關(guān)鍵漏洞。
每經(jīng)編輯 蔡鼎
每經(jīng)記者 蔡鼎 每經(jīng)實習(xí)編輯 張楊運
SEC(美國證券交易委員會)當(dāng)?shù)貢r間周四因其網(wǎng)絡(luò)安全以及信息披露行為受到猛烈抨擊。SEC主席杰伊·克萊頓(Jay Clayton)在當(dāng)?shù)貢r間本周三晚間披露稱,SEC在去年遭到黑客入侵,但其在今年8月才獲悉網(wǎng)絡(luò)黑客可能利用了SEC的漏洞從事非法的內(nèi)幕交易。
此外,路透社獨家獲得的一份機密周報(weekly report)顯示,DHS(美國國土安全局)早在今年1月23日便發(fā)現(xiàn)了SEC電腦中存在的五個“關(guān)鍵”網(wǎng)絡(luò)安全漏洞。該報告的發(fā)現(xiàn)也引發(fā)了人們對2016年SEC上市公司備案系統(tǒng)(“EDGAR“)網(wǎng)絡(luò)入侵事件的新質(zhì)疑。
SEC表示,其目前正在調(diào)查黑客攻擊的來源,但未透露此次黑客攻擊具體發(fā)生的時間,也未透露具體的非公開數(shù)據(jù)。SEC表示,攻擊者利用了“EDGAR”系統(tǒng)部分漏洞,但其已“及時”修復(fù)了該系統(tǒng)。
彭博社指出,這一重大安全漏洞所涉及的“EDGAR”檔案系統(tǒng)包含從季度收益、IPO到并購公告等數(shù)以百萬計的上市公司文件,這類文件都會進入“EDGAR”系統(tǒng)存檔。舉個例子,假設(shè)一家公司宣布其第四季度的收益由于種種原因?qū)⑦h低于預(yù)期,公司必須通過“EDGAR”系統(tǒng)告知SEC。在某些情況下,黑客可以在公司對外公布前就先看到這類信息。
想想看:如果一家公司計劃在次日早間發(fā)出警告,且可能對公司股價產(chǎn)生重大影響。但如果有人提前一天就入侵SEC系統(tǒng)知道了這個消息,肯定會得到幫助。而這正是廣大投資者目前所面臨的潛在問題——就像所有安全漏洞一樣,外界對此次SEC遭遇黑客攻擊所知甚少:不知道黑客竊取了哪些數(shù)據(jù),只知道其訪問了“非公開文件”。此外,對于黑客是誰,以及黑客入侵SEC的具體時間,外界也一無所知。
美國國家投資者關(guān)系研究所總裁蓋瑞·拉蘭切(Gary LaBranche)表示,大多數(shù)提交給SEC的文件“通常不包含極度敏感信息”,但任何內(nèi)幕交易都會發(fā)生在公司向SEC提交文件后不久(對外公布之前)。
然而,這尤其讓SEC主席克萊頓感到尷尬,因為克萊頓曾把打擊網(wǎng)絡(luò)犯罪作為最重要執(zhí)法問題之一。“他顯然認(rèn)識到,SEC甚至對內(nèi)幕交易毫不知情,這真是一種諷刺。”前SEC工作人員、一家網(wǎng)絡(luò)咨詢公司總裁約翰·里德·斯塔克(John Reed Stark)在接受彭博社采訪時表示。
路透社指出,DHS的周報會對美國大多數(shù)聯(lián)邦文職政府機構(gòu)的網(wǎng)絡(luò)弱點進行掃描,但今年1月份的DHS發(fā)布的周報顯示,SEC當(dāng)時存在第四次“關(guān)鍵”漏洞。然而,目前尚不清楚DHS檢測到的漏洞是否與SEC此次披露的網(wǎng)絡(luò)攻擊有直接關(guān)聯(lián)。但這表明,即使SEC表示其2016年黑客攻擊之后便“迅速”修補了軟件漏洞,但SEC的系統(tǒng)仍然存在關(guān)鍵漏洞。
《每日經(jīng)濟新聞》記者注意到,此次SEC披露其在2016年遭遇的黑客攻擊,發(fā)生在美國三大信用機構(gòu)之一的Equifax(NYSE:EFX)披露其安全漏洞之后的兩周。Equifax兩周前公布其遭遇的重大黑客入侵導(dǎo)致超過1.43億美國人的私人信息泄露——短時間內(nèi)美國兩家關(guān)鍵機構(gòu)接連披露遭遇黑客攻擊,也對美國金融行業(yè)帶來了巨大的沖擊。
目前尚不清楚對114臺SEC電腦進行掃描而發(fā)現(xiàn)的這些關(guān)鍵漏洞是否仍構(gòu)成威脅。在奧巴馬任期內(nèi),這類掃描每周都會進行一次。
“我堅決認(rèn)為,應(yīng)該立即采取行動應(yīng)對這樣的關(guān)鍵漏洞,”奧巴馬任期內(nèi)的前聯(lián)邦首席信息官托尼·斯科特(Tony Scott)在接受路透社采訪時表示,斯科特現(xiàn)在經(jīng)營著自己的網(wǎng)絡(luò)安全咨詢公司。“這同時也是Equifax遭到黑客攻擊的根源——在很長時期內(nèi),機構(gòu)的安全漏洞都沒有被修補。如果你是一個黑客的話,你就會試著以某種方式來利用這些漏洞。因此,這是一場與時間賽跑的比賽。”
路透社指出,在過去的幾年里,DHS一直在制作一份名為“聯(lián)邦網(wǎng)絡(luò)曝光記分卡(Federal Cyber Exposure Scorecard)”的報告。該報告每周為美國超過80家政府機構(gòu)提供潛在的網(wǎng)絡(luò)漏洞信息,以及這些漏洞存在的時長。DHS的一項指令要求各機構(gòu)在收到報告后的30天內(nèi)解決關(guān)鍵的網(wǎng)絡(luò)漏洞,但如果處理安全漏洞將影響到政府機構(gòu)正常工作,這一期限便很難被滿足。
前述DHS周報顯示,自2015年5月以來,美國各政府部門已經(jīng)做出了改進,所有此類機構(gòu)的關(guān)鍵漏洞修復(fù)數(shù)為363個。相比之下,截至今年1月23日,DHS審查的各機構(gòu)的關(guān)鍵漏洞總數(shù)為40個,另外還有280個被歸類為“高活躍度”的漏洞。
路透社指出,截至1月23日的周報,在全美擁有最多關(guān)鍵安全漏洞的機構(gòu)中,排名前四的依次是美國環(huán)境保護署(EPA)、美國衛(wèi)生和公眾服務(wù)部、美國綜合服務(wù)管理局和SEC。然而,安全漏洞的總數(shù)越多,并不代表該機構(gòu)就更遭,因為這取決于被掃描的電腦或設(shè)備的數(shù)量,以及哪類的信息可能會被暴露給黑客。
“如果你擁有一臺主機和一個漏洞,你的風(fēng)險可能是那些擁有10臺主機和10個漏洞機構(gòu)的10倍。”斯科特說道。
如需轉(zhuǎn)載請與《每日經(jīng)濟新聞》報社聯(lián)系。
未經(jīng)《每日經(jīng)濟新聞》報社授權(quán),嚴(yán)禁轉(zhuǎn)載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟新聞APP