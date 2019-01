Zes maanden ongestoord rondneuzen in de database van de Amerikaanse beurswaakhond Securities and Exchange Commission (SEC) leverde twee hackers en een groep traders 4,1 miljoen dollar op. Hun staaltje insidertrading bezorgt de SEC rode kaken.

De SEC maakte de hacking in 2017 bekend, maar door een dinsdag neergelegde klacht zijn nu meer details bekend over de werkwijze van het negental. De spil is de 27-jarige Oekraïner Oleksandr Ieremenko, die samen met een landgenoot wist in te breken in het ‘Edgar’-systeem van de SEC. Daarin verzamelt de waakhond de resultatenaankondigingen van beursgenoteerde bedrijven.

Door kennis te nemen van die resultaten net voor ze publiek gemaakt werden, kon de groep risicoloos lucratieve posities innemen. Als de resultaten bijvoorbeeld onder de verwachtingen uitkwamen, speculeerden ze op een koersdaling door het aandeel te shorten en putopties te kopen (die het recht geven het aandeel te verkopen, red). In één geval verdienden ze zo 307.000 dollar op een aandeel dat 12 procent kelderde na teleurstellende resultaten.

Preview

In totaal verdiende de groep 4,1 miljoen dollar dankzij een preview op 157 resultatenaankondigingen. Ieremenko – die de informatie doorspeelde aan traders in Los Angeles, Rusland en Oekraïne – streek in ruil 45 procent van de winst op. Wanneer de traders zonder illegale voorkennis probeerden te handelen, boekten ze in totaal een verlies van 38.599 dollar, leert de klacht van de SEC.

Om toegang te krijgen tot het Edgar-systeem, stuurden de hackers SEC-personeelsleden phishingmails waarin ze zich voordeden als collega’s. Het openen ervan besmette de computers met malware die toeliet om verder in het SEC-systeem door te dringen.

Gênant

De hacking is bijzonder gênant voor de SEC. De toezichthouder straft beursgenoteerde bedrijven als ze steken laten vallen in hun cyberbeveiliging. De waakhond wachtte na de ontdekking van de hacking in 2016 ook acht maanden om het nieuws bekend te maken, een schending van de eigen richtlijn voor bedrijven om binnen de week melding te maken van een hacking.