旗星银行在一次导致150万客户个人身份信息泄露的网络攻击后,“疏忽地”发表具有实质误导性的声明。
安全内参12月24日消息,美国商业银行旗星银行(Flagstar Bank)因在2021年的网络攻击事件后发表误导性声明,于上周被美国证券交易委员会(SEC)罚款350万美元(约合人民币2554万元)。根据SEC的调查结果,2021年底,一名黑客成功侵入旗星银行的内部Citrix环境,窃取了150万客户的个人身份信息。然而,旗星银行“疏忽地”在其官方网站及财务报告中发表了具有实质误导性的声明。在旗星银行于2022年3月1日提交的2021年10-K表格中,该银行声称网络攻击“可能会中断我们的业务或危及客户的敏感数据”。但SEC的命令指出,旗星银行并未如实披露,其已遭遇网络攻击的事实,此次攻击不仅导致客户数据泄露,还对该银行的抵押贷款发放业务造成中断。SEC进一步发现,在2022年6月17日向客户发布的通知以及2022年8月9日提交的证券文件中,旗星银行对Citrix漏洞的范围发表了具有误导性的声明。此外,SEC指出,旗星银行未能建立和维护足够的披露控制及相关程序,以确保其能够收集并披露所有重要信息,从而满足披露要求。旗星银行既未承认也未否认委员会的指控,但同意支付350万美元罚金,并接受一项禁止其未来发表误导性声明的停止令。旗星银行的一位发言人在一份电子邮件声明中表示:“我们很高兴能够与SEC就此事达成解决方案。我们仍然致力于履行合规和监管义务。”值得注意的是,这并非旗星银行第一次遭遇网络攻击。2021年,另一群不法分子利用旗星银行用于保护敏感信息的Accellion文件传输设备软件中的漏洞实施了攻击。除此之外,2023年旗星银行再度成为网络攻击的受害者,此次攻击利用了文件传输系统MOVEIt的漏洞,影响了约83.739万旗星银行客户及超过2000个组织。参考资料:cybersecuritydive.com
文章来源: https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247513347&idx=1&sn=97548dcca93551b2ea3636e369bfebdd&chksm=ebfaf223dc8d7b35ca39c1c3a37a0120b03a4b619fda5fe9fe51edb45d3886b87485e6480ee6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh