Zespół ds. bezpieczeństwa na platformie X (dawniej Twitter) ujawnił, że amerykańska Komisja Papierów Wartościowych i Giełd (SEC) nie miała włączonej autoryzacji dwuetapowej (2FA) na swoim głównym koncie na platformie X, co umożliwiło hakerowi uzyskanie do niego dostępu.
Ośmieszające odkrycie dla SEC nastąpiło po naruszeniu bezpieczeństwa, które wstrząsnęło rynkami kryptowalutowymi dzisiaj, za sprawą fałszywego zatwierdzenia spot Bitcoin Exchange-Traded Fund (ETF) z oficjalnego konta SEC na platformie społecznościowej.
W poście z 10 stycznia, strona bezpieczeństwa X poinformowała, że atak na SEC miał miejsce, ponieważ nieznany sprawca przejął kontrolę nad numerem telefonu skojarzonym z kontem i użył go do uzyskania dostępu do oficjalnej strony SEC na platformie X. Powszechnie nazywane to jest hakowaniem SIM.
„Na podstawie naszego śledztwa, naruszenie nie wynikało z żadnego naruszenia systemów X, lecz raczej z tego, że nieznana osoba przejęła kontrolę nad numerem telefonu skojarzonym z kontem @SECGov za pośrednictwem strony trzeciej” – napisał zespół ds. bezpieczeństwa X.
„Możemy także potwierdzić, że konto nie miało włączonej autoryzacji dwuetapowej w chwili naruszenia bezpieczeństwa.”
Hakowanie SIM to forma kradzieży tożsamości, w której atakujący przejmuje numer telefonu ofiary, umożliwiając im dostęp do mediów społecznościowych, kont bankowych i kryptowalutowych.
W tym przypadku haker prawdopodobnie przekonał dostawcę telekomunikacyjnego do przekazania kontroli nad numerem telefonu powiązanym z kontem SEC. Jeśli haker znał również poprawny
adres e-mail używany do logowania się do konta, mógł użyć numeru telefonu do zresetowania hasła do oficjalnego konta SEC i uzyskania dostępu.
ZachXBT, detektyw blockchain, skorzystał z okazji, aby ponownie opakować humorystycznie wcześniejsze porady przewodniczącego SEC, Gary’ego Genslera, dotyczące bezpieczeństwa mediów społecznościowych, w komentarzu do pierwotnego postu zespołu ds. bezpieczeństwa na platformie X.
Senatorowie Stanów Zjednoczonych J.D. Vance i Thom Tillis napisali list do Genslera 9 stycznia, ostro krytykując agencję za brak bezpieczeństwa operacyjnego i żądając wyjaśnienia incydentu w ciągu najbliższych czterech dni.
„Wydarzenia te budzą poważne obawy dotyczące wewnętrznych procedur cyberbezpieczeństwa Komisji i są sprzeczne z trójstronnym celem Komisji, jakim jest ochrona inwestorów” – czytamy w liście.
List Vance’a i Tillis dołączył do coraz liczniejszej listy wezwań do przejrzystości w tej sprawie, z kilkoma członkami Kongresu domagającymi się oficjalnego śledztwa w sprawie incydentu. Senator Stanów Zjednoczonych Bill Hagerty wezwał do działania SEC na własnym terenie, stwierdzając, że jeśli ten incydent byłby spowodowany przez sprawcę po drugiej stronie płotu, agencja naturalnie domagałaby się śledztwa.
„Tak samo jak SEC domagałoby się odpowiedzialności od spółki publicznej, gdyby popełniła tak kolosalny błąd wpływający na rynek, Kongres potrzebuje odpowiedzi na to, co właśnie się wydarzyło. To jest nieakceptowalne.”
Senator Stanów Zjednoczonych Cynthia Lumiss dołączyła do dyskusji, domagając się przejrzystości w sprawie „oszukańczych ogłoszeń”.
Właściciel platformy X, Elon Musk, również skorzystał z okazji, aby odrzucić wcześniejsze twierdzenie CNBC, że hakowanie SEC wynikało z naruszenia wewnętrznych systemów platformy X.