SEC不对Progress Software采取执法行动

关键要点

美国证券交易委员会SEC决定不对Progress Software因MOVEit Transfer漏洞采取执法行动。MOVEit漏洞影响了9500万人，并在2023年5月引起关注。Progress Software在显示合作的同时，迅速披露了漏洞。

美国证券交易委员会SEC于8月6日通知Progress Software，表示不打算对该公司因 MOVEit Transfer 漏洞 提起执法行动。该漏洞影响了9500万人，令其成为关注的焦点。

外网加速器

Progress在8月7日的SEC文件中公开了这一消息，表示公司于2023年10月2日收到SEC的传票，作为调查的一部分，要求提供各种有关MOVEit漏洞的文件和资讯。

MOVEit漏洞在2023年5月底引起广泛报导，当时报导称MOVEit被黑客入侵，数据被Clop勒索软件集团盗取。该漏洞之所以受到重视，是因为全球数以千计的政府机构、金融机构及其他公私部门组织均在使用这款应用。

尽管对SEC的决定进行分析仍然属于推测范畴，但Critical Start的威胁研究资深经理Callie Guenther指出，Progress Software与SEC的合作程度相当高。

Guenther提到，导致SEC作出此决定的重要因素可能包括：

影响因素描述及时披露Progress Software可能迅速披露了漏洞，符合监管要求和行业最佳实践。缺乏故意不当行为可能没有证据表明存在诈骗、误导性陈述或故意隐瞒与漏洞相关的资讯。与当局合作该公司可能与调查当局充分合作，展现出解决事件的诚意。

Guenther还表示，如果公司延迟披露、发布误导性陈述且被发现疏忽了常见的网络安全最佳实践，SEC过去曾对此开出高额罚金。例如，SEC曾对雅虎处以3500万美元罚款，原因是未能及时披露影响数亿用户帐户的2014年数据泄露事件。

Guenther提到：“在雅虎的案件中，延迟披露使得投资者对公司的网络安全风险和保护用户数据的努力产生了误解。这种对投资者信任和证券法的侵害促使SEC介入。而在MOVEit事件中，缺乏此类因素可能影响了SEC决定终止调查的结果。”

SentinelOne的首席安全顾问Morgan Wright表示，他认为这是正确的决定。他指出，这是一个零日漏洞，意味著没有人知道这一问题。他补充，如果Progress Software早已知晓漏洞并未采取适当措施修复和通知，情况就会截然不同。

Wright说道：“尽管这导致了不良结果，但已经有法律手段来解决此事诉讼。Progress Software面临大量集体诉讼，因此SEC可能认为不需要再加