Un groupe de hackers a déployé une tactique surprenante après avoir infiltré le réseau d’une société de logiciels financiers. Ils ont signalé la violation à la Securities and Exchange Commission (SEC) des États-Unis.
DataBreaches.net a initialement signalé l’incident, qui a été mené par ALPHV / BlackCat, un groupe connu pour avoir violé des entités aussi diverses que MGM Resorts et Reddit. Les pirates auraient infiltré les serveurs de la société de technologie financière MeridianLink le 7 novembre, volant les données de l’entreprise sans les crypter. Cependant, lorsque l’entreprise a négligé de négocier directement, les pirates ont accru la pression en déposant un rapport auprès de la SEC.
Ils l’ont fait en citant une nouvelle règle adoptée par la SEC cet été, qui oblige les entreprises victimes d’« incidents matériels de cybersécurité » à les signaler à l’agence dans un délai de quatre jours ouvrables.
Cependant, l’exigence de quatre jours n’est peut-être pas encore entrée en vigueur. Au moins un formulaire officiel affirme que la règle est entrée en vigueur 90 jours après la date de publication dans le Federal Register (ils semblent avoir été publiés le 4 août, ce qui fait de cette prétendue date d’entrée en vigueur le 2 novembre) ou le 18 décembre. Mais le document du Federal Register indique , « En ce qui concerne le respect des exigences de divulgation des incidents du point 1.05 du formulaire 8-K et du formulaire 6-K [the part referring to the four-day requirement], tous les déclarants autres que les petites sociétés déclarantes doivent commencer à se conformer le 18 décembre 2023. » Ajoutant à la confusion, Reuters a rapporté en octobre que la règle entrerait en vigueur le 15 décembre.
Engadget a contacté la SEC pour préciser si la règle est déjà active. Nous mettrons à jour cet article si nous recevons une réponse.
MeridianLink a dit BipOrdinateur qu’il a rapidement réussi à contenir la menace. « Sur la base de notre enquête jusqu’à présent, nous n’avons identifié aucune preuve d’accès non autorisé à nos plates-formes de production, et l’incident a provoqué une interruption minime de nos activités », a écrit la société. La société affirme qu’elle tente toujours de déterminer si des informations personnelles des consommateurs ont été violées, promettant d’en informer les parties concernées si tel était le cas.
Que la SEC ait le pouvoir (ou le désir) de faire quelque chose contre l’incapacité de MeridianLink à signaler l’incident dans les quatre jours ouvrables, la règle pourrait, ironiquement, servir de nouvel outil pour les cyber-attaquants. Plutôt que de contacter les clients ou de passer des appels pour resserrer l’étau et faire pression sur les entreprises pour qu’elles se conforment à leurs demandes, peut-être pourraient-elles désormais simplement les confier à l’Oncle Sam.