Sàn giao dịch liên lục địa phải trả 10 triệu USD tiền phạt SEC vì vi phạm bảo mật VPN

ICE là một công ty của Mỹ được niêm yết trên Fortune 500, sở hữu và điều hành các sàn giao dịch tài chính và thanh toán bù trừ trên toàn thế giới, bao gồm Sở giao dịch chứng khoán New York (NYSE). Vào năm 2023, công ty có hơn 13.000 nhân viên và báo cáo tổng doanh thu là 9,903 tỷ USD.

Theo yêu cầu trong Tuân thủ và Tính toàn vẹn của Hệ thống Quy định (Quy định SCI), các công ty phải thông báo ngay cho SEC về các hành vi xâm nhập sự cố bảo mật và cung cấp thông tin cập nhật trong vòng 24 giờ trừ khi họ xác định rằng tác động đến hoạt động của họ hoặc những người tham gia thị trường là không đáng kể.

SEC cho biết: “Những người được hỏi đã không thông báo cho SEC về vụ xâm nhập đang được đề cập theo yêu cầu. Thay vào đó, chính nhân viên của Ủy ban đã liên hệ với những người được hỏi trong quá trình đánh giá các báo cáo về các lỗ hổng mạng tương tự”.

“Họ đã không làm theo quy định, thay vào đó họ mất bốn ngày để đánh giá tác động của nó và kết luận nội bộ rằng đây chỉ là một sự kiện tối thiểu. Khi nói đến an ninh mạng, đặc biệt là các sự kiện tại các trung gian thị trường quan trọng, mỗi giây đều có giá trị và bốn ngày là quá nhiều. "

ICE phát hiện ra vụ việc vào ngày 15 tháng 4 năm 2021, sau khi bên thứ ba thông báo cho họ về khả năng xâm nhập hệ thống có liên quan đến một lỗ hổng không xác định trong mạng riêng ảo (VPN) của họ.

Cuộc tấn công bị nghi ngờ tấn công do tin tặc nhà nước thực hiện

Một cuộc điều tra tiếp theo đã tiết lộ rằng kẻ đe dọa đã triển khai payload độc hại trên một thiết bị VPN bị xâm nhập được sử dụng để truy cập từ xa vào mạng công ty.

“Các tác nhân đe dọa tinh vi được cho là các tác nhân quốc gia, đã cài đặt mã webshell vào thiết bị VPN bị xâm nhập nhằm cố gắng thu thập thông tin truyền qua thiết bị đó, bao gồm tên nhân viên, mật khẩu và mã xác thực đa yếu tố. Dữ liệu này có thể cho phép tác nhân đe dọa truy cập vào mạng nội bộ của công ty”, lệnh của SEC tiết lộ

Tuy nhiên, đội ngũ bảo mật của ICE có thể xác định rằng quyền truy cập của kẻ tấn công bị giới hạn ở một thiết bị VPN bị xâm nhập, mặc dù họ tìm thấy bằng chứng cho thấy tác nhân đe dọa có thể lấy cắp “dữ liệu cấu hình VPN và một số siêu dữ liệu người dùng ICE nhất định”.

SEC cho biết nhân viên ICE đã không thông báo cho các quan chức pháp lý và tuân thủ tại các công ty con của công ty về vi phạm bảo mật VPN này trong vài ngày, vi phạm cả quy tắc Reg SCI và quy trình báo cáo sự cố mạng nội bộ của ICE. Do thất bại này, các công ty con của ICE đã không đánh giá đúng hành vi xâm nhập và không đáp ứng nghĩa vụ tiết lộ Reg SCI của họ.

ICE và các công ty con đã đồng ý với lệnh của SEC, thừa nhận rằng các công ty con đã vi phạm các điều khoản thông báo của Quy định SCI và ICE đã gây ra những vi phạm này.

Không thừa nhận hay phủ nhận những phát hiện của SEC, ICE và các công ty con cũng đồng ý với lệnh ngừng hoạt động do vi phạm các quy tắc Reg SCI và nộp phạt tiền dân sự 10 triệu USD.

Nguồn: bleepingcomputer.com