美国证券交易委员会因暴露客户数据的电子邮件黑客而对经纪公司处以罚款

据悉，在美国证券交易委员会已被罚几个券商共计$750,000用于暴露敏感的个人身份信息的数千名客户和客户的黑客后接手员工的电子邮件帐户。

隶属于3家公司的8家实体已受到美国证券交易委员会的制裁，包括Cetera（顾问网络、投资服务、金融专家、顾问和投资顾问）、剑桥投资研究（投资研究和投资研究顾问）和KMS金融服务。

在一份新闻稿中，美国证券交易委员会宣布已对这些公司的网络安全政策和程序进行了制裁，因为它们允许黑客未经授权访问基于云的电子邮件帐户，从而暴露了每家公司数千名客户的个人信息。

在Cetera的案例中，美国证券交易委员会表示，超过60名员工的基于云的电子邮件帐户被未经授权的第三方渗透了三年多，暴露了至少4,388名客户的个人信息。

该命令指出，没有一个账户具有Cetera政策要求的保护措施，美国证券交易委员会还指控两个Cetera实体向客户发送违规通知，其中包含“误导性语言，表明这些通知的发布时间比发现后的实际时间要早得多的事件。”

美国证券交易委员会针对剑桥的命令得出结论认为，至少2,177名剑桥客户和客户的个人信息暴露是该公司网络安全实践松懈的结果。

“尽管剑桥在2018年1月发现了第一起电子邮件帐户被接管，但它未能在2021年之前为其代表的基于云的电子邮件帐户采用和实施全公司范围内的增强安全措施，导致额外客户和客户记录的暴露和潜在暴露和信息，”美国证券交易委员会说。

针对KMS的命令是类似的；SEC的命令指出，由于该公司未能在2020年5月之前采用要求在全公司范围内采取额外安全措施的书面政策和程序，近5,000名客户的数据被暴露。

“投资顾问和经纪自营商必须履行他们保护客户信息的义务，”美国证券交易委员会执法部门网络部门负责人克里斯蒂娜·利特曼(KristinaLittman)说。“如果这些要求没有得到实施或只是部分实施，特别是面对已知的攻击，那么仅仅编写要求加强安全措施的政策是不够的。”

所有当事方都同意解决这些指控，并且在不承认或否认SEC的调查结果的情况下，未来不再违反被指控的条款。作为和解的一部分，Cetera将支付300,000美元的罚款，而Cambridge和KMS将分别支付250,000美元和200,000美元的罚款。

剑桥告诉TechCrunch，它不对监管事项发表评论，但表示它已经并且确实维护了一个全面的信息安全小组和程序，以确保客户的帐户得到充分保护。Cetera和KMS尚未做出回应。

美国证券交易委员会的这一最新行动是在委员会下令总部位于伦敦的出版和教育巨头培生集团支付100万美元罚款后几周才采取的，原因是该公司在2018年数据泄露问题上误导投资者。