SolarWinds在2020年被駭是因長期忽略內部安全風險,遭美國SEC提告
· 2023-10-31

美國證券交易委員會(SEC)調查發現,SolarWinds高層在該公司遭到軟體供應鏈攻擊前2年,便得知內部有許多資安問題卻無積極作為,因此控告SolarWinds與該公司資安長詐欺與內控失靈

SolarWinds

美國證券交易委員會(SEC)周一(10/30)控告了在2020年被駭的SolarWinds,指控SolarWinds與該公司的資訊安全長Timothy Brown詐欺與內控失靈,違反《證券交易法》。

SolarWinds為一專門開發網路、系統與IT管理軟體的美國業者,旗下的IT監控平臺Orion在2020年12月傳出遭到駭客滲透,駭客入侵了Orion的更新機制,於特定的Orion版本中植入了Sunburst木馬程式,藉以危害採用Orion的組織,根據SolarWinds當時的估計,在3.3萬家Orion客戶中,有1.8萬家安裝了含有Sunburst的Orion,涵蓋最早揭露此事的資安業者FireEye,以及眾多的美國聯邦組織,再加上微軟、思科、英特爾及Nvidia等。

此外,資安社群還發現,應有其它駭客組織也駭進了SolarWinds,因為它們在Orion中找到了第二個木馬程式Supernova。一般認為,Sunburst木馬程式來自於俄羅斯駭客組織Cozy Bear,而Supernova則來自中國駭客組織Spiral。

微軟總裁Brad Smith隔年接受《60 Minutes》節目專訪時,將此一攻擊事件稱為全球史上規模最大也最高明的攻擊行動,還說參與攻擊SolarWinds行動的工程師鐵定超過1,000名。

這起攻擊事件令SolarWinds股價在意外發生的3天內下滑了25%,在該月下滑了35%,並遭到股東的集體訴訟,SolarWinds在去年11月以2,600萬美元與股東們和解,繼之即迎來了SEC的訴訟。

SEC指出,SolarWinds至少從2018年10月公開發行,到2020年12月遭到Sunburst攻擊期間,SolarWinds與Brown對外都誇大了該公司的資安措施,同時低估或者是未揭露已知的安全風險。

SEC之所以會這樣認為,是因為調查發現,SolarWinds內部工程師在2018年就曾警告,該公司的遠端存取設定不是很安全,成功利用該漏洞的人很可能在未被察覺的情況下為所欲為,進而造成SolarWinds在財務與聲譽上的損失。而Brown自己也曾多次於內部簡報中提醒,內部安全機制使得該公司的關鍵資產處於非常脆弱的狀態,對於關鍵系統與資料的存取權限是不合理的。

而在Sunburst攻擊行動被揭露的前幾個月,SolarWinds更是知道內部的資安問題重重。例如SolarWinds在2020年6月就曾調查一項針對該公司客戶所發動的網路攻擊,當時Brown即說,駭客可能一直企圖利用Orion軟體來發動更大規模的攻擊行動,因為該公司的後端並不那麼有彈性;同年9月,Brown並曾於內部表示,上一個月所發現的安全問題數量,已經超過了工程團隊可以解決的能力。

SEC認為,多年來SolarWinds與Brown不斷地忽視該公司網路風險的危險訊號,而且他們不但不解決這些安全漏洞,還選擇對外描繪於安全管控上的美好虛假景像,誤導了投資人。

熱門文章
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
英國確認各垂直行業的賭博稅稅率
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
首頁
遊戲
合作
發現
我的