外媒援引知情人士的消息称,美国政府监管机构正在调查雅虎的数据泄密事件,并认为此事应该尽早让投资者知晓,而不是隐瞒两年之久。
(图片来自AfricaNews247)
据悉,美国证券交易委员会(SEC)已经开始调查并且在去年12月份发出了文件请求,调查这家科技公司有关受黑客攻击的披露是否符合民事证券法。SEC要求,公司认为对投资者有影响时必须立即披露电子安全风险。
外界认为,此举可能意味着企业在遭遇受黑客攻击时何时对外公布情况的一个重要试点。
2014年的泄密事件导致至少5亿用户数据泄露,不过截至目前,雅虎并未解释迟到两年时间才对外披露2014年数据泄露事件的原因,也没有解释当时是谁做出不立即对外披露细节的决定。
此外,去年12月中旬雅虎还曾表示,它当时发现在2013年8月份时数据也遭遇泄露,让10亿雅虎用户私人信息遭暴露。
据了解,SEC的调查还处于早期阶段,现在谈论是否会导致任何公诉行为还为时过早。法律界人士猜测,SEC在寻找一个案例来澄清什么类型的行为将与该机构在2011年发布的指导性文件相违背,这一文件要求公司披露有关网络安全风险和网络事件的重要信息。
由于在公布受到黑客攻击导致数据泄露事件的时间点上规定模糊,SEC从未针对任何相关公司进行立案。如果SEC提出了一个案例,这可能会更加清晰地告诉其它公司什么类型的披露被该机构认定可能违反了这一领域的法律。这样的案例可能帮助澄清有关时间的规定,因为那次指导性的文件对此没有列出详细的要求。
去年11月,雅虎曾透露,该公司正在同寻求2014年那次数据泄露事件信息的联邦、州政府和外国机构合作。这些机构包括联邦贸易委员会(FTC)、SEC、美国曼哈顿律师事务所和一些州总检察长。
在提交给SEC的一份文件中,雅虎称已经设立了一个委员会来调查2014年那次数据泄露事件以及公司信息暴露情况。
计算机安全专业人员培训机构SANS Institute的专家表示,雅虎在2014年遭遇大面积数据泄露事件两年之后才对外公布情况显得不常见,不过起初调查时往往会很难确定数据泄露的全部范围。
雅虎最终公布的情况是2014年数据泄露中让5亿用户信息暴露,但该公司最初认为受影响的用户没有那么多。该事件是否如雅虎管理层在2014年所理解的那样没有对公众注意力影响那么大,这是现在调查的一个问题。
部分人士认为,雅虎一案似乎很不平常,因为两次均涉及其披露的时间选择和泄露面积。网络安全顾问约翰·里德·斯塔克称,检方对任何类型的披露事项感兴趣,这是不寻常的,也未听说过以网络攻击事件披露为背景来大做文章,“这里谈论的话题,涉及的不仅是数据泄露的可能性,也关于因数据泄露会导致一个交易的终止。”
