上市公司遭網路攻擊未披露，勒索軟體集團向SEC告狀

勒索軟體集團威脅受害者支付贖金的招數愈來愈多，從早期加密受害者系統上的資料、竊取受害者資料，一直到最近，勒索軟體集團AlphV竟然直接向美國證券交易委員會（SEC）告狀，指控於美國紐約股市公開發行股票的MeridianLink並未如實對外揭露其遭到網路攻擊的意外事件。但迄今不管是SEC或MeridianLink都拒絕回應此事。

過去勒索軟體集團加密受害者系統資料時，以解密作為要脅，等到大多數企業都知道要備份系統時，勒索軟體集團開始竊取系統資料，並以外洩資料作為要脅，目的都是為了逼迫受害者支付贖金，而隨著SEC祭出新規定，要求上市公司要在4天內披露重大資安事件，也成為駭客的要脅手段。

MeridianLink專門提供各種解決方案予金融組織，包括端對端平臺、貸款發放系統、抵押貸款、開立存款帳戶、資料與報告等，客戶則涵蓋了銀行、信用合作社及抵押貸款機構。

而根據《DataBreaches》引用一名參與該攻擊的消息來源報導，AlphV是在11月7日入侵了MeridianLink，AlphV並未加密任何檔案，只是盜走了檔案，且當天MeridianLink便已知情，卻一直未修補被用來入侵的漏洞，一直到AlphV於15日公開將MeridianLink列為受害對象，MeridianLink才將其修補。

在這期間，儘管MeridianLink曾嘗試與AlphV聯繫，但之後卻幾乎沒有互動，使得AlphV決定向SEC告狀，指控MeridianLink沒有遵守網路安全事件的揭露規定。AlphV並與《DataBreaches》分享了向SEC打小報告的畫面。

SEC在今年7月通過了一項新規定，要求上市公司要在遭遇重大資安事件的4個工作天內，向外界揭露事發細節。不過，AlphV顯然沒有調查清楚，此一規定要到今年12月才生效，而且需屬於「重大」事件。

至於MeridianLink則回應，該起網路安全意外發生在11月10日，當天他們立即採取行動抑制了威脅範圍，同時也聘請第三方資安專家協助調查，並無證據顯示旗下各生產平臺遭到未經授權的存取，而且此一事件只造成了極小的業務中斷。

MeridianLink僅坦承遭到駭客入侵，並未證實是否收到SEC的通知，此外，當《Recorded Future News》向SEC求證時，SEC亦拒絕回應是否收到駭客的投訴。