我們在很多奇葩的新聞中，會看到有些小偷在偷東西時受傷或死亡，向主人索賠事件，我們好多人總認為這事很奇葩很奇葩，而網絡安全領域美國方面也上演了一出類似的案例。

一個臭名昭著的勒索軟件組織已向美國證券交易委員會 (SEC) 提出投訴，稱受害者未能披露因網絡犯罪團伙本身進行的攻擊而導致的數據泄露事件。

名為 Alphv 和 BlackCat 的勒索軟件組織聲稱入侵了 MeridianLink 的系統，該公司是一家總部位于加利福尼亞州的公司，為金融機構提供數字借貸解決方案，并為消費者提供數據驗證解決方案。

網絡犯罪分子聲稱竊取了屬于 MeridianLink 的大量客戶數據和運營信息，并威脅稱除非支付贖金，否則將泄露這些信息。

為了增加獲得報酬的機會，惡意黑客聲稱已向美國證券交易委員會 (SEC) 提出針對 MeridianLink 的投訴，指責該公司未能按照該機構在 2017 年公布的規則的要求，在四個工作日內披露違規行為。

BlackCat 于 11 月 15 日在其泄密網站上發布了截圖，顯示該投訴已提交并已被 SEC 收到。 

屏幕截圖顯示向 SEC 提交的針對 MeridianLink 的投訴

這似乎是勒索軟件組織首次向 SEC 對其受害者提出投訴。 

黑客告訴DataBreaches.net，針對 MeridianLink 的攻擊（據稱不涉及文件加密勒索軟件，僅涉及數據盜竊）于 11 月 7 日進行，并于當天被發現。 

然而，MeridianLink 告訴 DataBreaches.net，入侵發生在 11 月 10 日。

“當天發現后，我們立即采取行動遏制威脅，并聘請第三方專家團隊調查該事件。根據我們迄今為止的調查，我們沒有發現任何未經授權訪問我們生產平臺的證據，并且該事件造成的業務中斷程度很小。”該公司表示，并補充說，由于調查正在進行，因此無法透露更多細節。 

值得指出的是，新的 SEC 數據泄露披露規則將于 2023 年 12 月中旬生效。此外，公司將被要求在確定網絡安全事件對投資者重大后的四個工作日內通知 SEC，這根據 MeridianLink 的聲明，目前尚未發生。SEC方面對此拒絕置評。

BlackCat一直是最活躍的勒索軟件操作之一，該組織嘗試新方法說服目標付款的情況并不少見，包括為個人受害者 建立專門的泄密網站。