前情回顾·全球网络安全执法

安全内参12月24日消息,美国商业银行旗星银行(Flagstar Bank)因在2021年的网络攻击事件后发表误导性声明,于上周被美国证券交易委员会(SEC)罚款350万美元(约合人民币2554万元)。

根据SEC的调查结果,2021年底,一名黑客成功侵入旗星银行的内部Citrix环境,窃取了150万客户的个人身份信息。然而,旗星银行“疏忽地”在其官方网站及财务报告中发表了具有实质误导性的声明

在旗星银行于2022年3月1日提交的2021年10-K表格中,该银行声称网络攻击“可能会中断我们的业务或危及客户的敏感数据”。但SEC的命令指出,旗星银行并未如实披露,其已遭遇网络攻击的事实,此次攻击不仅导致客户数据泄露,还对该银行的抵押贷款发放业务造成中断。

SEC进一步发现,在2022年6月17日向客户发布的通知以及2022年8月9日提交的证券文件中,旗星银行对Citrix漏洞的范围发表了具有误导性的声明

此外,SEC指出,旗星银行未能建立和维护足够的披露控制及相关程序,以确保其能够收集并披露所有重要信息,从而满足披露要求。

旗星银行既未承认也未否认委员会的指控,但同意支付350万美元罚金,并接受一项禁止其未来发表误导性声明的停止令。

旗星银行的一位发言人在一份电子邮件声明中表示:“我们很高兴能够与SEC就此事达成解决方案。我们仍然致力于履行合规和监管义务。”

值得注意的是,这并非旗星银行第一次遭遇网络攻击。2021年,另一群不法分子利用旗星银行用于保护敏感信息的Accellion文件传输设备软件中的漏洞实施了攻击。

除此之外,2023年旗星银行再度成为网络攻击的受害者,此次攻击利用了文件传输系统MOVEIt的漏洞,影响了约83.739万旗星银行客户及超过2000个组织。

参考资料:https://www.cybersecuritydive.com/news/flagstar-sec-fine-cyberattack/736070/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。