La SEC inflige des amendes à des sociétés de courtage pour des piratages de courriers électroniques qui ont exposé les données des clients – TechCrunch


Les Commission des valeurs mobilières des États-Unis a infligé une amende totale de 750 000 $ à plusieurs sociétés de courtage pour avoir exposé le informations personnellement identifiables de milliers de clients et de clients après que des pirates ont pris le contrôle des comptes de messagerie des employés.

Au total, huit entités appartenant à trois sociétés ont été sanctionnées par la SEC, dont Cetera (réseaux de conseillers, services d’investissement, spécialistes financiers, conseillers et conseillers en investissement), Cambridge Investment Research (recherche en investissement et conseillers en recherche d’investissement) et KMS Financial Prestations de service.

Dans un communiqué de presse, la SEC a annoncé qu’elle avait sanctionné les entreprises pour des échecs dans leurs politiques et procédures de cybersécurité qui ont permis aux pirates d’accéder sans autorisation aux comptes de messagerie basés sur le cloud, exposant les informations personnelles de milliers de clients et de clients de chaque entreprise

Dans le cas de Cetera, la SEC a déclaré que les comptes de messagerie basés sur le cloud de plus de 60 employés ont été infiltrés par des tiers non autorisés pendant plus de trois ans, exposant au moins 4 388 informations personnelles de clients.

L’ordonnance indique qu’aucun des comptes ne comportait les protections requises par les politiques de Cetera, et la SEC a également accusé deux des entités Cetera d’avoir envoyé des notifications de violation aux clients contenant « un langage trompeur suggérant que les notifications ont été émises beaucoup plus tôt qu’elles ne l’étaient en réalité après la découverte. des incidents.

L’ordonnance de la SEC contre Cambridge conclut que l’exposition des informations personnelles d’au moins 2 177 clients et clients de Cambridge était le résultat d’un laxisme la cyber-sécurité pratiques au sein de l’entreprise.

«Bien que Cambridge ait découvert la première prise de contrôle de compte de messagerie en janvier 2018, elle n’a pas réussi à adopter et à mettre en œuvre des mesures de sécurité améliorées à l’échelle de l’entreprise pour les comptes de messagerie basés sur le cloud de ses représentants jusqu’en 2021, ce qui a entraîné l’exposition et l’exposition potentielle d’enregistrements clients et clients supplémentaires. et des informations », a déclaré la SEC.

L’ordonnance contre KMS est similaire; l’ordonnance de la SEC indique que les données de près de 5 000 clients et clients ont été exposées en raison de l’échec de la société à adopter des politiques et procédures écrites exigeant des mesures de sécurité supplémentaires à l’échelle de l’entreprise jusqu’en mai 2020.

« Les conseillers en investissement et les courtiers doivent remplir leurs obligations en matière de protection des informations des clients », a déclaré Kristina Littman, chef de la Cyber ​​Unit de la SEC Enforcement Division. « Il ne suffit pas d’écrire une politique exigeant des mesures de sécurité renforcées si ces exigences ne sont pas mises en œuvre ou ne le sont que partiellement, en particulier face aux attaques connues. »

Toutes les parties ont convenu de résoudre les accusations et de ne pas commettre de violations futures des dispositions incriminées, sans admettre ni nier les conclusions de la SEC. Dans le cadre des règlements, Cetera paiera une amende de 300 000 $, tandis que Cambridge et KMS paieront des amendes de 250 000 $ et 200 000 $ respectivement.

Cambridge a déclaré à TechCrunch qu’il ne commentait pas les questions réglementaires, mais qu’il disposait et maintenait un groupe et des procédures complets de sécurité des informations pour garantir la protection complète des comptes des clients. Cetera et KMS n’ont pas encore répondu.

Cette dernière action de la SEC intervient quelques semaines seulement après que la Commission a ordonné au géant londonien de l’édition et de l’éducation Pearson va payer une amende d’un million de dollars pour avoir induit les investisseurs en erreur au sujet d’une violation de données en 2018 dans l’entreprise.



Source link