Een Amerikaanse beurshandelaar heeft 70.000 euro boete gekregen wegens het niet hebben van een virusscanner. Commonwealth Equity Services adviseerde handelaren om de computers waarmee ze op het beursplatform inlogden van anti-virus software te voorzien, maar stelde dit niet verplicht. Verder bleek dat de interne auditors van Commonwealth de aanwezigheid van virusscanners op kantoorcomputers niet controleerden. Ook waren er geen procedures om via audits of door handelaren gemelde problemen aan te pakken. Het ontbreken van de beveiligingssoftware kwam in november 2008 aan het licht toen een aanvaller de inloggegevens van een Commonwealth handelaar, waarschijnlijk via een keylogger, wist te bemachtigen.

De aanvaller logde in op het beursplatform en verhandelde voor meer dan een half miljoen dollar in aandelen en verkreeg de gegevens van 368 klanten. Binnen minuten ontdekte het Commonwealth personeel de vreemde transacties en blokkeerde het account. De ongeautoriseerde transacties werden vervolgens geannuleerd, wat 8000 dollar kostte. Ook moest de beurshandelaar de 368 getroffen klanten waarschuwen dat de aanvaller hun accountnaam, accountnummer, soort account, cash balans, accountwaarde en de laatste vier cijfers van het social security nummer had bemachtigd.

Helpdesk
De Amerikaanse Securities en Exchange Commission (SEC) die het incident onderzocht, wijst ook naar een eerder probleem dat zich twee maanden eerder voordeed. Toen werd de Commonwealth helpdesk door een handelaar gebeld dat zijn computer mogelijk besmet was geraakt. De helpdeskmedewerker ontdekte dat er geen virusscanner aanwezig was en adviseerde dat die zou worden aangeschaft. Er werd echter nooit gecontroleerd of dit ook was gedaan. De SEC kwam tot de conclusie dat de beurshandelaar de regels had overtreden. Beide partijen kwamen uiteindelijk een schikking overeen, waarbij Commonwealth een boete van 70.000 euro betaalt.