2020年底駭客對SolarWinds發動軟體供應鏈攻擊,進而入侵SolarWinds多家政府與企業用戶,同樣受到影響的Unisys、Avaya、Check Point與Mimecast卻刻意對外隱瞞相關資安事故嚴重性,美國證券交易委員會對這四家業者祭出百萬美元罰款
背景/Umberto on Unsplash
美國證券交易委員會(Securities and Exchange Commission,SEC)周二(10/22)針對4家業者祭出了罰款,原因是它們在遭到SolarWinds被駭事件的波及時,對外試圖淡化其影響,危害了股東與投資人的權益,包括Unisys、Avaya、Check Point與Mimecast。
SolarWinds為一專門開發網路、系統與IT管理軟體的美國業者,旗下的IT監控平臺Orion在2020年12月遭到駭客滲透,駭客入侵了Orion的更新機制,於特定的Orion版本中植入Sunburst木馬程式,估計在3.3萬家Orion客戶中,有1.8萬家安裝了含有Sunburst的Orion,間接受害的除了眾多的美國聯邦組織之外,還包括FireEye、微軟、思科、英特爾與Nvidia等業者。
不過,SEC發現,同樣受到SolarWinds被駭事件危害的Unisys、Avaya、Check Point與Mimecast,對外提供了誤導性的披露,而讓投資人對此一資安事件的真實影響範圍一無所知。
調查顯示,Unisys、Avaya與Check Point是在2020年,而Mimecast是在2021年發現,滲透SolarWinds的駭客曾經入侵它們的系統,但它們在公開披露中全都淡化了此一資安事件。
例如Unisys就算已經知道已被SolarWinds駭客入侵兩次,資料也外洩了,對外卻還是以假設性的口吻來描述該風險,原因之一是因Unisys的揭露控制含有缺陷。Avaya則僅對外宣稱駭客存取了有限的電子郵件,但事實上駭客還存取了其雲端檔案共享環境中的145個檔案。
至於Check Point儘管知道自己被入侵,卻以籠統的術語描述了該網路入侵活動與相關風險;Mimecast則未充份披露駭客所竊取的程式碼性質,以及所存取的憑證數量,試圖淡化該攻擊的嚴重性。
SEC加密資產及網路部門的代理負責人Jorge Tenreiro表示,淡化重大網路安全事件是一個糟糕的策略,上述的兩個案例中,就算企業已經知道風險已經發生時,竟然還用假設性的說法來描述,違反了聯邦證券法令。
上述業者皆已同意支付罰款,其中,Unisys將支付400萬美元,Avaya為100萬美元,Check Point是99.5萬美元,而Mimecast也要支付99萬美元。
