SEC不对Progress Software采取执法行动

关键要点

• 美国证券交易委员会（SEC）决定不对Progress Software因MOVEit Transfer漏洞采取执法行动。
• MOVEit漏洞影响了9500万人，并在2023年5月引起关注。
• Progress Software在显示合作的同时，迅速披露了漏洞。

美国证券交易委员会（SEC）于8月6日通知Progress Software，表示不打算对该公司因 提起执法行动。该漏洞影响了9500万人，令其成为关注的焦点。

Progress在中公开了这一消息，表示公司于2023年10月2日收到SEC的传票，作为调查的一部分，要求提供各种有关MOVEit漏洞的文件和资讯。

MOVEit漏洞在引起广泛报导，当时报导称MOVEit被黑客入侵，数据被集团盗取。该漏洞之所以受到重视，是因为全球数以千计的政府机构、金融机构及其他公私部门组织均在使用这款应用。

尽管对SEC的决定进行分析仍然属于推测范畴，但Critical Start的威胁研究资深经理Callie Guenther指出，ProgressSoftware与SEC的合作程度相当高。

Guenther提到，导致SEC作出此决定的重要因素可能包括：

Guenther还表示，如果公司延迟披露、发布误导性陈述且被发现疏忽了常见的网络安全最佳实践，SEC过去曾对此开出高额罚金。例如，SEC曾对，原因是未能及时披露影响数亿用户帐户的2014年数据泄露事件。

Guenther提到：“在雅虎的案件中，延迟披露使得投资者对公司的网络安全风险和保护用户数据的努力产生了误解。这种对投资者信任和证券法的侵害促使SEC介入。而在MOVEit事件中，缺乏此类因素可能影响了SEC决定终止调查的结果。”

SentinelOne的首席安全顾问MorganWright表示，他认为这是正确的决定。他指出，这是一个零日漏洞，意味著没有人知道这一问题。他补充，如果ProgressSoftware早已知晓漏洞并未采取适当措施修复和通知，情况就会截然不同。

Wright说道：“尽管这导致了不良结果，但已经有法律手段来解决此事——诉讼。ProgressSoftware面临，因此SEC可能认为不需要再加