Menkul Kıymetler ve Borsa Komisyonu bir anlaşmaya vardı Şirketin iki ayrı siber saldırıyla ilgili olarak milyonlarca dolarlık müşteri fonunu güvence altına alamadığı iddialarını çözmek için Equiniti Trust ile 850.000 dolar karşılığında bir anlaşma imzaladı.
Daha önce American Stock Transfer & Trust olarak bilinen Equiniti, 2022 ve 2023’te saldırıya uğradı ve bunun sonucunda 6,6 milyon dolarlık müşteri fonu kaybedildi. Şirket yaklaşık 2,6 milyon dolar kurtardı ve müşterilere tam olarak geri ödeme yaptı, SEC geçen hafta yaptığı duyuruda şöyle dedi.
SEC’in San Francisco bölge ofisi müdürü Monique Winkler, hazırladığı açıklamada, “American Stock Transfer, şirketlerin ve piyasaların neredeyse sürekli tehdit altına girdiği siber saldırılardan müşterilerinin fonlarını ve menkul kıymetlerini korumak için gerekli güvenlik önlemlerini sağlamada başarısız oldu” dedi.
Kararda şirketin 1934 tarihli Menkul Kıymetler Borsası Kanunu’nu ihlal ettiği tespit edildi. SEC’e göre Equiniti, hukuki cezanın ötesinde, bir durdurma ve vazgeçme emri ve kınama kararı da kabul etti.
Equiniti’nin sözcüsü e-posta yoluyla yaptığı açıklamada, “SEC, Equiniti’nin tüm müşterilerini ve hissedarlarını tazmin etmeyi de içeren hızlı ve kararlı eylemlerinden memnun kaldı ve bu anlaşma soruşturmayı sonlandırıyor” dedi.
SEC’e göre, birleşik kuruluş, Haziran 2023’te tamamlanan American Stock Transfer ve Equiniti Trust’ın birleşmesinin ardından oluşturuldu.
Şirket, müşteri fonlarının dolandırıcılıktan korunmasını sağlamak için önemli yatırımlar yaptığını ve yapmaya devam edeceğini açıkladı.
Olayların ardında
İlk olay, Eylül 2022’de, o zamanlar American Stock Transfer adıyla faaliyet gösteren şirket ile ABD merkezli halka açık bir ihraççı müşterisi arasındaki mevcut e-posta zincirinin kimliği belirsiz bir bilgisayar korsanı tarafından ele geçirilmesiyle yaşandı.
Kendisini ihraç edenin bir çalışanı gibi gösteren hacker, American Stock Transfer’a milyonlarca yeni hisse senedi ihraç etmesi, hisseleri tasfiye etmesi ve Hong Kong’daki bir bankaya göndermesi talimatını verdi. Şirket, Hong Kong’daki bir bankaya 4,78 milyon dolar gönderdi ancak daha sonra yaklaşık 1 milyon dolar geri alabildi.
Nisan 2023 olayında, bilinmeyen bir bilgisayar korsanı, gerçek hesaplara bağlı sahte hesaplar oluşturmak için meşru American Stock Transfer hesap sahiplerine ait çalınan Sosyal Güvenlik numaralarını kullandı. Bilgisayar korsanı yaklaşık 1,9 milyon dolar çaldı, ancak şirket daha sonra yaklaşık 1,6 milyon dolar kurtarmayı başardı.
Avukat McDermott Will & Emery’de ortak ve eski federal savcı Sagar RaviŞirketin, çalışanlarını artan iş e-postası ihlali kullanımı konusunda uyardığını ancak SEC için şirket içi rehberliğin yeterli olmadığını belirtti.
Ravi, Cybersecurity Dive’a e-posta yoluyla yaptığı açıklamada, “SEC, şirketin e-posta kılavuzunun çalışanlar tarafından okunup okunmadığını teyit etmediği, çalışanlara eğitim sağlamadığı ve geri aramaların yapılmasını sağlamadığı için şirketi suçladı.” dedi.
Anlaşma, Temmuz ayındaki mahkeme kararından bu yana SEC’de çözülen ilk büyük siber davalardan biri oldu sivil dolandırıcılık suçlamalarının çoğunu reddediyor 2020 Sunburst kötü amaçlı yazılım saldırılarıyla bağlantılı olarak SolarWinds’e karşı.
Bu dava daha sınırlı sayıda suçlamayla federal mahkemede görülüyor.