美国内部交易高级玩法!黑客可能偷偷“瞅”下未发布公告就把钱赚了

SEC(美国证券交易委员会)当地时间周四因其网络安全以及信息披露行为受到猛烈抨击。SEC主席杰伊.克莱顿(Jay Clayton)在当地时间本周三晚间披露称,SEC在去年遭到黑客入侵,但其在今年8月才获悉网络黑客可能利用了SEC的漏洞从事非法的内幕交易。

SEC(美国证券交易委员会)当地时间周四因其网络安全以及信息披露行为受到猛烈抨击。SEC主席杰伊.克莱顿(Jay Clayton)在当地时间本周三晚间披露称,SEC在去年遭到黑客入侵,但其在今年8月才获悉网络黑客可能利用了SEC的漏洞从事非法的内幕交易。
  此外,独家获得的一份机密周报(weekly report)显示,DHS(美国国土安全局)早在今年1月23日便发现了SEC电脑中存在的五个“关键”网络安全漏洞。该报告的发现也引发了人们对2016年SEC上市公司备案系统(“EDGAR“)网络入侵事件的新质疑。
  黑客或利用系统漏洞从事内幕交易
  SEC表示,其目前正在调查黑客攻击的来源,但未透露此次黑客攻击具体发生的时间,也未透露具体的非公开数据。SEC表示,攻击者利用了“EDGAR”系统部分漏洞,但其已“及时”修复了该系统。
  指出,这一重大安全漏洞所涉及的“EDGAR”档案系统包含从季度收益、IPO到并购公告等数以百万计的上市公司文件,这类文件都会进入“EDGAR”系统存档。举个例子,假设一家公司宣布其第四季度的收益由于种种原因将远低于预期,公司必须通过“EDGAR”系统告知SEC。在某些情况下,黑客可以在公司对外公布前就先看到这类信息。
  想想看:如果一家公司计划在次日早间发出警告,且可能对公司股价产生重大影响。但如果有人提前一天就入侵SEC系统知道了这个消息,肯定会得到帮助。而这正是广大投资者目前所面临的潜在问题——就像所有安全漏洞一样,外界对此次SEC遭遇黑客攻击所知甚少:不知道黑客窃取了哪些数据,只知道其访问了“非公开文件”。此外,对于黑客是谁,以及黑客入侵SEC的具体时间,外界也一无所知。
  美国国家投资者关系研究所总裁盖瑞.拉兰切(Gary LaBranche)表示,大多数提交给SEC的文件“通常不包含极度敏感信息”,但任何内幕交易都会发生在公司向SEC提交文件后不久(对外公布之前)。
  然而,这尤其让SEC主席克莱顿感到尴尬,因为克莱顿曾把打击网络犯罪作为最重要执法问题之一。“他显然认识到,SEC甚至对内幕交易毫不知情,这真是一种讽刺。”前SEC工作人员、一家网络咨询公司总裁约翰.里德.斯塔克(John Reed Stark)在接受社采访时表示。
美国内部交易高级玩法!黑客可能偷偷“瞅”下未发布公告就把钱赚了

  DHS:SEC年初便存在五个关键漏洞
  社指出,DHS的周报会对美国大多数联邦文职政府机构的网络弱点进行扫描,但今年1月份的DHS发布的周报显示,SEC当时存在第四次“关键”漏洞。然而,目前尚不清楚DHS检测到的漏洞是否与SEC此次披露的网络攻击有直接关联。但这表明,即使SEC表示其2016年黑客攻击之后便“迅速”修补了软件漏洞,但SEC的系统仍然存在关键漏洞。
  《每日经济新闻》记者注意到,此次SEC披露其在2016年遭遇的黑客攻击,发生在美国三大信用机构之一的Equifax(NYSE:EFX)披露其安全漏洞之后的两周。Equifax两周前公布其遭遇的重大黑客入侵导致超过1.43亿美国人的私人信息泄露——短时间内美国两家关键机构接连披露遭遇黑客攻击,也对美国金融行业带来了巨大的冲击。
  目前尚不清楚对114台SEC电脑进行扫描而发现的这些关键漏洞是否仍构成威胁。在奥巴马任期内,这类扫描每周都会进行一次。
  “我坚决认为,应该立即采取行动应对这样的关键漏洞,”奥巴马任期内的前联邦首席信息官托尼.斯科特(Tony Scott)在接受社采访时表示,斯科特现在经营着自己的网络安全咨询公司。“这同时也是Equifax遭到黑客攻击的根源——在很长时期内,机构的安全漏洞都没有被修补。如果你是一个黑客的话,你就会试着以某种方式来利用这些漏洞。因此,这是一场与时间赛跑的比赛。”
  社指出,在过去的几年里,DHS一直在制作一份名为“联邦网络曝光记分卡(Federal Cyber Exposure Scorecard)”的报告。该报告每周为美国超过80家政府机构提供潜在的网络漏洞信息,以及这些漏洞存在的时长。DHS的一项指令要求各机构在收到报告后的30天内解决关键的网络漏洞,但如果处理安全漏洞将影响到政府机构正常工作,这一期限便很难被满足。
  前述DHS周报显示,自2015年5月以来,美国各政府部门已经做出了改进,所有此类机构的关键漏洞修复数为363个。相比之下,截至今年1月23日,DHS审查的各机构的关键漏洞总数为40个,另外还有280个被归类为“高活跃度”的漏洞。
美国内部交易高级玩法!黑客可能偷偷“瞅”下未发布公告就把钱赚了

  社指出,截至1月23日的周报,在全美拥有最多关键安全漏洞的机构中,排名前四的依次是美国环境保护署(EPA)、美国卫生和公众服务部、美国综合服务管理局和SEC。然而,安全漏洞的总数越多,并不代表该机构就更遭,因为这取决于被扫描的电脑或设备的数量,以及哪类的信息可能会被暴露给黑客。
  “如果你拥有一台主机和一个漏洞,你的风险可能是那些拥有10台主机和10个漏洞机构的10倍。”斯科特说道。

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

分页:12
转载请注明
本文标题:美国内部交易高级玩法!黑客可能偷偷“瞅”下未发布公告就把钱赚了
本站链接:http://www.codesec.net/view/565070.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(66)