监管机构称9000多名客户数据因安全漏洞出现在暗网上

澳大利亚证券监管机构正在对金融咨询公司Fortnum Private Wealth Limited采取法律行动，指控该公司未能保护客户数据，导致这些数据出现在暗网上。

9000多名客户数据因财富公司网络安全失败被指曝光在暗网

澳大利亚证券投资委员会（ASIC）在新南威尔士州最高法院提起诉讼，声称超过9000名客户的个人信息在Fortnum的一家商业合作伙伴发生网络攻击后被曝光。这次泄露 allegedly 涉及超过200GB的敏感数据被盗并发布到网上。

ASIC的法庭文件详细描述了Fortnum在2021年4月至2023年5月期间如何 allegedly 使自己及其财务顾问网络容易受到网络犯罪分子的攻击。监管机构表示，这家总部位于悉尼的财富管理公司并没有建立适当的保护措施，即使在此期间其授权代表遭遇多次网络事件。

“Fortnum在管理网络安全风险方面的疑似失职，给公司、其代表和客户带来了不可接受的网络攻击风险，”ASIC主席Joe Longo在一份声明中表示。

这是近期类似案件中的又一例。FinanceMagnates.com在3月份报道，ASIC因FIIG证券公司涉嫌网络安全失败而提起诉讼，造成了一次大规模数据泄露，385GB的敏感客户数据涌入了暗网。

潜在的网络安全政策漏洞

此案围绕Fortnum在网络安全方面的处理展开。网络安全这个术语泛指保护计算机系统和网络免遭盗窃。更广泛来说，网络安全还可以代表对硬件、软件或电子数据损坏的对策，以及防止其提供的服务被中断或误导。网络安全这一术语早在1989年才首次使用，因此近来发展迅速。在今天的用语中，网络安全指的是为保护计算机或计算机系统而采取的措施。在ASIC认为的2021年4月实施的网络安全政策并不充分。法庭文件显示，该公司的首个网络安全框架存在重大漏洞；它并没有要求顾问公司实际解决在自我评估中识别出的问题，并且允许他们在没有Fortnum的监督下咨询外部IT专家。

根据ASIC的文件，只有44%的Fortnum顾问网络在2021年9月的截止日期前完成了要求的网络安全自我评估。更少的顾问，仅有11%完成了确认实施适当安全措施的要求认证表。

“ASIC一直在强调公司的网络安全责任。特别是，澳大利亚金融服务许可持有者持有大量敏感和机密信息，”Longo补充道。“这就是为什么在我们看到许可持有者未能采取适当保护措施时，采取行动是我们的执法优先事项之一。”

您可能还喜欢：ASIC发出超级诈骗警报，$4万亿投资系统成为目标

ASIC视角下的问题所在

监管机构指控Fortnum在2022年年中放弃了对这些薄弱要求的执行，同时正在制定更新政策，导致在此期间有长达12个月的漏洞，未提供额外的保护。新的政策直到2023年5月才上线。

在此期间，Fortnum的几位授权代表遭受了网络攻击。除了导致数千个客户记录曝光的重大数据泄露外，事故还包括电子邮件账户被攻击、网络钓鱼攻击以及黑客利用顾问电子邮件地址发送欺诈性信息。

法庭文件显示，攻击者获取了敏感客户信息，包括身份证明文件、税号、银行账户详情和信用卡信息，正是网络犯罪分子进行身份盗窃和欺诈时所瞄准的数据类型。

ASIC的诉讼指控Fortnum违反了《公司法》的多个条款，未能“高效、诚实、公平地”提供金融服务，也未维持足够的风险管理系统。监管机构声称该公司没有拥有具备网络安全专业知识的员工，也在制定政策时未能聘请合格的顾问。

此案定于2025年8月4日开庭审理。ASIC寻求对Fortnum的正式违规声明和财务罚款。