Eine Hackergruppe wandte eine überraschende Taktik an, nachdem sie das Netzwerk eines Finanzsoftwareunternehmens infiltriert hatte. Sie meldeten den Verstoß der US-Börsenaufsicht SEC (Securities and Exchange Commission).
DataBreaches.net anfänglich gemeldet zu dem Vorfall, der von ALPHV/BlackCat durchgeführt wurde, einer Gruppe, die für Verstöße gegen so unterschiedliche Unternehmen wie MGM Resorts und Reddit bekannt ist. Berichten zufolge drangen die Hacker am 7. November in die Server des Fintech-Unternehmens MeridianLink ein und stahlen Unternehmensdaten, ohne diese zu verschlüsseln. Als das Unternehmen es jedoch versäumte, direkt zu verhandeln, erhöhten die Hacker den Druck, indem sie einen Bericht bei der SEC einreichten.
Sie beriefen sich dabei auf eine neue Regelung, die die SEC diesen Sommer verabschiedet hat und die Unternehmen, die Opfer „wesentlicher Cybersicherheitsvorfälle“ werden, dazu verpflichtet, diese innerhalb von vier Werktagen der Behörde zu melden.
Möglicherweise ist die Vier-Tage-Anforderung jedoch noch nicht in Kraft getreten. Mindestens ein offizielles Formular behauptet, die Regel sei 90 Tage nach dem Datum der Veröffentlichung im Bundesregister (sie scheinen am 4. August veröffentlicht worden zu sein, sodass das angebliche Inkrafttretensdatum der 2. November ist) oder am 18. Dezember in Kraft getreten. Aber die Bundesregisterdokument sagt: „In Bezug auf die Einhaltung der Anforderungen zur Offenlegung von Vorfällen in Punkt 1.05 von Formular 8–K und in Formular 6–K [the part referring to the four-day requirement]müssen alle Registranten, mit Ausnahme kleinerer berichtender Unternehmen, am 18. Dezember 2023 mit der Einhaltung beginnen.“ Was die Verwirrung noch verstärkt, Reuters gemeldet im Oktober, dass die Regel am 15. Dezember in Kraft tritt.
Engadget wandte sich an die SEC, um zu klären, ob die Regel bereits aktiv ist. Wir werden diesen Artikel aktualisieren, wenn wir etwas hören.
MeridianLink erzählt BleepingComputer dass es schnell funktionierte, die Bedrohung einzudämmen. „Basierend auf unserer bisherigen Untersuchung haben wir keine Hinweise auf einen unbefugten Zugriff auf unsere Produktionsplattformen gefunden und der Vorfall hat zu minimalen Betriebsunterbrechungen geführt“, schrieb das Unternehmen. Das Unternehmen sagt, es versuche immer noch festzustellen, ob personenbezogene Daten von Verbrauchern verletzt wurden, und verspricht, die betroffenen Parteien zu benachrichtigen, wenn dies der Fall sei.
Unabhängig davon, ob die SEC die Zähne (oder den Willen) hat, etwas gegen das Versäumnis von MeridianLink zu unternehmen, den Vorfall innerhalb von vier Werktagen zu melden, könnte die Regel ironischerweise als neues Werkzeug für Cyber-Angreifer dienen. Anstatt Kunden zu kontaktieren oder anzurufen, um den Druck zu verschärfen und die Unternehmen unter Druck zu setzen, ihren Forderungen nachzukommen, können sie sie jetzt vielleicht einfach an Uncle Sam verraten.