Регулятор объявил 22 сентября, что электронная система хранения и регистрации данных EDGAR, которая используется для хранения информации различных частных компаний и финансовых организаций США, может быть уязвима перед распределённой DoS-атакой (Distributed Denial of Service, "отказ в обслуживании"). В этом случае кибервредители могут перегрузить сеть, что выведет ее из строя.
Такая атака часто проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.
Обнаружена уязвимость была в ходе тестирования возможности системы EDGAR по загрузке ежемесячных и ежегодовых отчетов, которые потребуются в соответствии с новыми правилами, принятыми в прошлом году.
В отчете сообщается, что даже непреднамеренная ошибка со стороны сотрудников компании может привести выведению системы из строя. Даже загрузка некорректной формы может вызвать потребление большого объёма оперативной памяти, что приводит к исчерпанию ресурса.
Дефект обнаружен вскоре после объявления о взломе базы данных EDGAR в 2016 году. Злоумышленники воспользовались уязвимостью в системе раскрытия информации и получили в 2016 году доступ к непубличным данным, которые могли затем использоваться для операций на рынке.
Хакеры воспользовались уязвимостью модуля, который позволяет эмитентам проверить, правильно ли ими была передана информация в систему раскрытия с использованием новых форматов. Часть сообщений компаний-эмитентов, передаваемых в систему, раскрывается сразу, часть - сначала проверяется персоналом SEC.
Уязвимость в системе была немедленно ликвидирована, сообщала SEC. О проникновении в систему EDGAR стало известно из пространного заявления главы Комиссии Джея Клейтона, посвященного в целом вопросам кибербезопасности.
В заявлении говорится о конкретных шагах ведомства по повышению кибербезопасности и о важности этого направления в деятельности SEC. Проникновению в систему EDGAR в заявлении посвящено шесть строк.
В заявлении говорится, что о возможном получении злоумышленниками доступа к непубличной информации Комиссия узнала в августе 2017 года. В то же время проникновение не создавало системных рисков и не привело к утечке информации самой SEC.
Ранее злоумышленники уже пытались использовать EDGAR, в которой хранится более 20 млн квартальных отчетов и регулятивных сообщений эмитентов, в своих целях.
Так, в 2015 году фейковая компания PTG Capital Partners Ltd., созданная болгарским гражданином, направила в Комиссию по ценным бумагам и биржам сообщение о готовящейся покупке американского производителя косметики Avon, что привело к скачку стоимости акций компании на 20% в течение сессии.
