SEC X账户被黑客入侵显示监管机构存在的网络安全记录存在缺陷-彭博社

Austin Weinstein, Jamie Tarabay

2024-01-12

2016年，该机构遭受了一次网络攻击，该攻击影响了其企业备案数据库，并允许黑客从非公开信息中获利，据美国检察官称。

摄影师：Graeme Sloan/Bloomberg美国证券交易委员会X账户本周早些时候遭到黑客攻击，这凸显了一个令人不安的事实：华尔街主要监管机构的网络安全措施一再被发现存在缺陷。

该机构并未完全遵守联邦网络安全标准，包括去年其内部监督机构进行的一项审查发现的一个要求，即面向公众的系统支持多因素身份验证。一年前进行的一项独立评估发现了该委员会安全措施的弱点，比如防止未经授权访问网络的协议。

美国证券交易委员会远非近年来因网络安全防御不力而受到批评的唯一联邦机构，但其在美国各地监管公司和市场的备受关注的角色使其成为黑客特别青睐的目标。2016年，该机构遭受了一次网络攻击，该攻击影响了其企业备案数据库，并允许黑客从非公开信息中获利，据美国检察官称。

“我们昨天刚刚目睹了华盛顿的技术漏洞的最新情况，这也是证监会的一个真正低谷，”来自阿肯色州的共和党议员弗伦奇·希尔在周三美国众议院数字资产小组会议上说道。他表示，国会共和党人正在致信证监会主席加里·根斯勒，要求对这次黑客攻击进行调查。

证监会拒绝就其网络安全政策发表评论。联邦调查局正在调查周二的事件，一名黑客接管了X（前身为Twitter）上的证监会账号。黑客随后发布了一篇虚假帖子，错误地声称监管机构已批准了现货比特币交易所交易基金的计划，导致比特币价格飙升。（该机构一天后批准了ETF计划。）

美国证券交易委员会的X账号在周二遭到篡改，发布了一篇虚假帖子声称该机构已批准了现货比特币交易所交易基金的计划。安娜·伊雷拉在彭博电视台上探讨了此事件的后果。

X在一份声明中表示，一名未知人士通过获取相关电话号码篡改了证监会的X账号。声明还指出，证监会尚未启用双因素认证——这是一种额外的安全层，随着网络攻击的增加已成为组织的标准。目前尚不清楚证监会为何没有设置额外的身份验证。

订阅《网络安全简报》，获取独家报道，深入了解黑客和网络间谍的阴影世界，以及企业如何进行防御。

代理机构X账户的接管恰逢美国证券交易委员会（SEC）处于不利时机，该委员会最近对上市公司实施了新的监管规定，要求它们在四个工作日内披露网络安全事件，作为加强企业网络安全透明度的广泛努力的一部分。今年10月，SEC还起诉了 SolarWinds Corp. ——该公司在2020年遭到俄罗斯黑客入侵，影响了企业和政府机构，指控其通过淡化安全风险来欺骗投资者。

SolarWinds 对这些指控提出了异议，并指责SEC“歪曲事实”。代表SolarWinds的 Latham & Watkins 的律师Serrin Turner在周四的一份声明中表示，SEC在周二的黑客攻击“突显了任何组织的安全控制都不能假定完美实施，以及监管机构应该以极大的谨慎和谦卑来对待网络安全。”

同时，根斯勒一直在强调企业加强数字安全的必要性。今年10月，他在X上发布了一条提醒“保护您的金融账户，并防范身份盗窃和欺诈。”他推荐的一项措施是多因素身份验证。

阅读更多：公司在如何遵守SEC网络安全规定方面挣扎

2022年，白宫发布了一项网络安全战略，指示各机构采取广泛行动来加强其网络安全。该战略强调了多因素身份验证的必要性，并将其描述为“联邦政府安全基线的重要组成部分。”

证券交易委员会已经在实施行动方面取得了一些进展，其总监在九月的一封信中报告了这一点。但报告显示，它在一些任务上仍然落后。具体来说，证券交易委员会在去年的审计中尚未配置所有面向公众的系统以支持多因素身份验证，总监说。

相反，证券交易委员会认为它“通常”符合标准，因为除了一个系统外，所有系统都已经迁移到使用Login.gov，这是一个更广泛的联邦政府访问网站，需要双因素身份验证，总监的报告显示。虽然证券交易委员会认为剩下的系统存在有限风险，但总监坚持认为，防钓鱼身份验证仍然是必要的，以防止黑客获取对证券交易委员会网络的访问。

阅读更多：证券交易委员会黑客事件具有安全措施不力的特征：网络公告

由公司Kearney & Co进行的对证券交易委员会数据安全控制的单独评估发现，该机构并未一致实施限制对其系统访问的程序。这项于2022年进行的审查指出，一些缺陷可以追溯至五年前。具体的弱点已被删除，但研究发现这些漏洞部分是由于与 Covid 相关的远程办公政策造成的。

Kearney 最终得出结论，证券交易委员会的信息安全计划不符合联邦对“有效性”的定义。

去年，松懈的数据安全措施迫使证监会在其内部法庭前撤销了42起执法案件。该机构发现一些执法人员能够看到他们本不应看到的备忘录。当时，证监会表示对这一疏忽感到遗憾，这被归咎于缺乏适当的保障措施。

2016年，一群东欧黑客侵入了监管机构的公司申报数据库。黑客窃取了非公开的公司盈利报告并进行了交易，据法庭文件显示，他们赚取了超过410万美元。

去年九月，监管机构提议在同一数据库中添加多因素认证。