יאהו! תשלום מיליונים בפשרה - לא יידעה משקיעים על דליפת המידע

הנציבות הפדרלית לניירות ערך בארה"ב (SEC) הודיעה כי חברת Altaba Inc, המוכרת יותר בשמה הקודם Yahoo! Inc, הסכימה לשלם קנס בסך 35 מיליון דולרים, וזאת על-מנת להסדיר את טענת הנציבות כי החברה הטעתה את ציבור המשקיעים בה לאחר שלא דיווחה להם על אחד מאירועי דליפת המידע הגדולים בהיסטוריה. מדובר באירוע שהתרחש בשנת 2014, במסגרתו האקרים רוסים הניחו את ידם על פרטי מידע אודות מאות מיליוני משתמשים של החברה, לרבות שמות משתמש, כתובות דוא"ל, מספרי טלפון, תאריכי לידה, סיסמאות מוצפנות ועוד (אירוע שהוביל גם להגשת תובענה ייצוגית נגד החברה).

למרות שאנשי אבטחת המידע של החברה למדו על האירוע מספר ימים לאחר שהתרחש, ולמרות שדיווחו על כך למחלקה המשפטית של החברה ולהנהלתה הבכירה - יאהו! כשלה בחקירת נסיבות האירוע ולא שקלה האם יש לדווח עליו למשקיעים בחברה. אירוע הפריצה דווח ברבים רק שנתיים לאחר שהתרחש, בשנת 2016, במהלך הליך רכישתה של החברה על-ידי Verizon. מקור: הודעה לעיתונות של ה-SEC.

כזכור, בחודש פברואר פרסמה הנציבות הנחיה חדשה העוסקת בחידוד הצורך בגילוי מתאים של סיכוני סייבר ביחס לחברות נסחרות - "לאור התדירות, ההיקף ועלויות ההתמודדות עם תקריות סייבר, הנציבות סבורה שחיוני שחברות נסחרות ינקטו את כל הצעדים הדרושים על מנת ליידע את ציבור המשקיעים בעיתוי נאות על אודות תקריות וסיכוני סייבר מהותיים, לרבות בקרב חברות הנתונות לסיכוני סייבר מהותיים אף שטרם חוו אירוע סייבר ממשי".