La Securities and Exchange Commission des États-Unis a infligé une amende totale de 750 000 $ à plusieurs sociétés de courtage pour avoir exposé les informations personnelles identifiables sensibles de milliers de clients et de clients après que des pirates ont pris le contrôle des comptes de messagerie d’employés.

Au total, huit entités appartenant à trois sociétés ont été sanctionnées par la SEC, dont Cetera (réseaux de conseillers, services d’investissement, spécialistes financiers, conseillers et conseillers en investissement), Cambridge Investment Research (recherche en investissement et conseillers en recherche d’investissement) et KMS Financial Prestations de service.

Dans un communiqué de presse, la SEC a annoncé qu’elle avait sanctionné les entreprises pour des défaillances dans leurs politiques et procédures de cybersécurité qui ont permis aux pirates d’accéder sans autorisation aux comptes de messagerie basés sur le cloud, exposant les informations personnelles de milliers de clients et de clients de chaque entreprise.

Dans le cas de Cetera, la SEC a déclaré que les comptes de messagerie basés sur le cloud de plus de 60 employés ont été infiltrés par des tiers non autorisés pendant plus de trois ans, exposant au moins 4 388 informations personnelles de clients.

L’ordonnance indique qu’aucun des comptes ne comportait les protections requises par les politiques de Cetera, et la SEC a également accusé deux des entités Cetera d’avoir envoyé des notifications de violation aux clients contenant « un langage trompeur suggérant que les notifications ont été émises beaucoup plus tôt qu’elles ne l’étaient en réalité après la découverte. des incidents.

L’ordonnance de la SEC contre Cambridge conclut que l’exposition des informations personnelles d’au moins 2 177 clients et clients de Cambridge était le résultat de pratiques de cybersécurité laxistes de l’entreprise.

«Bien que Cambridge ait découvert la première prise de contrôle de compte de messagerie en janvier 2018, elle n’a pas réussi à adopter et à mettre en œuvre des mesures de sécurité améliorées à l’échelle de l’entreprise pour les comptes de messagerie basés sur le cloud de ses représentants jusqu’en 2021, ce qui a entraîné l’exposition et l’exposition potentielle d’enregistrements clients et clients supplémentaires. et d’informations », le…