Un gruppo di hacker ha adottato una tattica sorprendente dopo essersi infiltrato nella rete di una società di software finanziario. Hanno segnalato la violazione alla Securities and Exchange Commission (SEC) degli Stati Uniti.
DataBreaches.net inizialmente riportato sull’incidente, condotto da ALPHV / BlackCat, un gruppo noto per aver violato entità diverse come Resort MGM E Reddit. Secondo quanto riferito, gli hacker hanno violato i server della società fintech MeridianLink il 7 novembre, rubando dati aziendali senza crittografarli. Tuttavia, quando l’azienda ha trascurato di negoziare direttamente, gli hacker hanno aumentato la pressione presentando un rapporto alla SEC.
Lo hanno fatto citando una nuova regola approvata dalla SEC quest’estateche impone alle aziende vittime di “incidenti materiali di sicurezza informatica” di segnalarli all’agenzia entro quattro giorni lavorativi.
Tuttavia, il requisito dei quattro giorni potrebbe non essere ancora entrato in vigore. Almeno una forma ufficiale sostiene che la norma sia entrata in vigore 90 giorni dopo la data di pubblicazione nel Federal Register (sembra che siano stati pubblicati il 4 agosto, rendendo quella presunta data di entrata in vigore il 2 novembre) o il 18 dicembre. Documento del registro federale afferma: “Per quanto riguarda il rispetto dei requisiti di divulgazione degli incidenti nella voce 1.05 del modulo 8-K e nel modulo 6-K [the part referring to the four-day requirement], tutti i dichiaranti diversi dalle società segnalanti più piccole devono iniziare a conformarsi a partire dal 18 dicembre 2023.” In aggiunta alla confusione, Reuters riportato in ottobre che la norma entrerà in vigore il 15 dicembre.
Engadget ha contattato la SEC per chiarire se la regola è ancora attiva. Aggiorneremo questo articolo se avremo notizie.
MeridianLink detto Computer che dorme che ha funzionato rapidamente per contenere la minaccia. “Sulla base delle nostre indagini fino ad oggi, non abbiamo identificato prove di accesso non autorizzato alle nostre piattaforme di produzione e l’incidente ha causato un’interruzione minima dell’attività”, ha scritto la società. L’azienda afferma che sta ancora cercando di determinare se qualche informazione personale dei consumatori sia stata violata, promettendo di avvisare le parti interessate in tal caso.
Se la SEC ha la forza (o il desiderio) di fare qualcosa riguardo alla mancata segnalazione dell’incidente da parte di MeridianLink in quattro giorni lavorativi, la regola potrebbe, ironicamente, servire come nuovo strumento per gli aggressori informatici. Invece di contattare i clienti o fare telefonate per rafforzare la presa e fare pressione sulle aziende affinché rispettino le loro richieste, forse ora possono semplicemente denunciarle allo Zio Sam.
