天创培训:您身边的信息安全培训专家!
行业动态
SEC罚前雅虎公司3500万美金,竟与俄罗斯黑客有关

美国证券交易委员会(后文简称SEC)本周二宣布针对Altaba(原名为雅虎)的指控对其进行3500万美元罚款,指控内容为:Altaba向投资者隐瞒遭受黑客攻击及大量网络安全漏洞信息超过两年。据悉,这是美国证券交易委员会第一次因为未披露网络安全漏洞相关信息而加以罚款。

具体事件

Altaba 在2014年遭受俄罗斯黑客攻击,数亿用户的详细数据(用户名,电子邮件地址,电话号码,生日,加密密码和相关安全问题)被泄露,不久其信息安全团队发现这一问题并向高级管理层转达,但公司并未对此展开详尽的调查,且在与威瑞森公司进行收购谈判时隐瞒了这一事件,甚至于2016年6月针对威瑞森进行了只含四项轻微违规行为的虚假报告。直至当年9月,Altaba才告知威瑞森这一事件,收购价格也因此受到影响。

美国司法部去年宣布针对四名涉事人员在5亿个雅虎账号被盗一案中扮演的角色展开调查,其中包括俄罗斯联邦安全局(Federal Security Service)的两名官员,其中一名涉事人员已在去年底认罪,承认其曾帮助俄罗斯情报机关破解电邮账号。

在对2014年黑客案进行调查时,还有Altaba 2013年的另一桩网络攻击事件也被发现,此次事件中该公司的所有30亿个账号全部被盗,这是到目前为止规模最大的已知消费者信息失窃案。

SEC罚前雅虎公司3500万美金,竟与俄罗斯黑客有关

第三方态度

SEC执法部门的联席主管Steven Peikin说,“我们不想再猜测善意披露的决定,但此次事件并非如此。”SEC希望上市公司应该有适当的控制措施和程序来正确评估网络事件,并向投资者披露重要信息。目前SEC没有公布任何针对雅虎高管的指控。Peikin先生指出,该机构的调查仍在继续,并没有就个人行为作出任何决定。

参议院银行业证券,保险和投资小组委员会的民主党参议员Mark Warner星期二表示:“我希望其他人知道你没有‘打扫地毯下的灰’。”

SEC宣布罚款决定后,Altaba同意了结,其发言人未发表评论,既不承认也不否认SEC的调查结果。