美國證券交易委員會系統遭入侵，敏感信息被黑客用於非法獲利

日前， 美國政府機構金融監管部門、美國證券交易委員會（SEC）發布聲明，稱其財務文件檔案系統曾遭遇黑客入侵，且黑客可能已經利用竊取的信息非法獲利。

證券交易委員會主席傑克·克萊頓（Jess Clayton）表示，儘管委員會一直儘力保護系統安全並著力應對網路威脅，但還是因為軟體的漏洞而導致黑客入侵了委員會的 EDGAR（電子數據採集、分析和檢索）系統。EDGAR 相當於一個資料庫，存有公司官方檔案、即將發布的公告以及過往財務記錄（季度收入、盈利預警、併購收購計劃書）等信息，每年處理的資料接近 170 萬份。

黑客利用 EDGAR 測試文件組件中的漏洞，並設法獲得了 EDGAR 後端的訪問許可權。因此，黑客可以訪問系統儲存的文件（儘管這些文件全部都是公開的）、還獲取了委員會關於併購、收購、其他尚未公開的新聞稿，以及各大公司提前提交給 SEC 的有關市場交易的內容。

但我們相信，這次入侵沒有造成系統性風險，黑客也沒有獲取個人識別信息，不會危及委員會的日常工作。

入侵早已發生，但本周才披露

SEC 沒有說明入侵事件發生的具體時間，但是表示在 2016 年 5 月就已經發現並立即修補了這個漏洞。而 2017 年 8 月的新發現則讓 SEC 認為，黑客在「2016 年的入侵事件」中獲取的資料可能已經用於非法交易。暫時還不清楚黑客是否從非法交易中獲利，或者是否將這些信息出售給了第三方。

這件事與 2010 年 2 月至 2014 年 11 月期間發生的入侵事件很像，當時一群位於烏克蘭和俄羅斯的黑客攻擊了多個公共新聞網站，獲得了很多大型公司計劃發布的新聞稿，並將這些新聞稿賣給其他炒股賺錢的人。

網路安全公司 High-Tech Bridge 首席執行官 Ilia Kolochenko 表示：

此次 SEC 的入侵事件可能比 Equifax 數據泄露事件後果更嚴重。攻擊者可能會（利用竊取到的信息）操縱整個股票市場，攫取數十億非法利潤。這讓那些沒有內幕信息的合法投資（養老金、主權基金等）者面臨大額虧損。

目前我們沒有獲取任何有關此次數據泄露的技術細節，因此我不會就攻擊原因或攻擊者做出任何評價。SEC 的聲明不夠清楚，可能會引起公眾對國家的不滿；而由於沒公布黑客名稱，人們也會對此議論紛紛。

也有專家推測，這應該是有預謀、有針對性的攻擊，並非是單純的隨機攻擊。因為系統中的內幕信息可以決定股票市場的走勢，這其中牽扯到的利益巨大。

據路透社報道，最近美國政府問責局點名批評了 SEC，稱其安保措施欠妥，沒有做好敏感信息加密、使用了不受支持的軟體，且沒有安裝調試完好的防火牆。

儘管美國財政部門很少受到黑客攻擊，但類似事件也不是沒有。2014 年，納斯達克就遭到了惡意軟體攻擊。

近期爆出的入侵事件越來越多，這次儘管 SEC 迅速修復了漏洞，泄露出去的數據還是能造成很惡劣的影響。

不論是企業還是個人，也許都該更警惕一些。

*參考來源：bleepingcomputer，AngelaY 編譯，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！