在訴訟中,律師聲稱SolarWinds多年來忽視了內部網路安全,並在提交給證券交易委員會的公開檔案和媒體採訪中,誤導公開上市公司的數位安全狀況。
雙方的律師正努力在12月8日之前敲定和解,該公司將向在受影響期間購買股票的股東支付2600萬美元。與此同時,SolarWinds透露,它可能很快就會成為聯邦監管機構對於該漏洞採取行動的對象,因為美國證券交易委員會(U.S. Securities and Exchange Commission,SEC)在同一天向該公司發出了「Wells通知」,表明可能會採取訴訟行動。
在通知發布之前,SEC委員Gary Gensler推測,因為資料洩露、勒索軟體攻擊和其他事件導致公司及其客戶損失和損害數十億美元。委員會期望發揮更強有力的監管作用,審查上市公司的網路安全政策。
該和解結束了SolarWinds及其股東之間近兩年的法律鬥爭:該公司是否未準確地傳達了其安全缺陷,從而不恰當地推高了股價。
該訴訟列出了一些個人和單位,包括前執行長Kevin Thompson、私募股權公司以及大股東Thoma Bravo和Silver Lake Partners,都在受入侵行為披露前售出了數百萬美元的SolarWinds股票。 一名法官拒絕了SolarWinds駁回訴訟的請求,但在確定股票出售的其他解釋(即這是Thompson離開公司時預先制定的計劃的一部分,與受入侵無關)是合理的後,將Thompson從被告名單中刪除。
該漏洞最終歸咎於俄羅斯聯邦對外情報局SVR,它破壞了SolarWinds Orion軟體的合法更新,該軟體在政府和私人企業中被廣泛使用。 Mandiant(也是受害者)首次發現了更新,至少有18,000名SolarWinds客戶下載了更新,儘管該活動被認為在性質上更具針對性,拜登政府官員去年認為多達9個聯邦機構和100家公司實際上被利用這一缺陷攻擊。
相關連結:Derek B. Johnson(2022). SolarWinds settles lawsuit over Orion breach as SEC enforcement action looms. SC media. 檢自:https://www.scmagazine.com/analysis/breach/solarwinds-settles-lawsuit-over-orion-breach-as-sec-enforcement-action-looms (Nov. 21, 2022)
