" Команда безопасности X (ранее Twitter) обнаружила, что Комиссия по ценным бумагам и биржам США (SEC) не включила двухфакторную аутентификацию (2FA) в своей основной учетной записи X, что позволило хакеру получить к ней доступ.
Смущающее для SEC разоблачение последовало за инцидентом безопасности, который сегодня потряс крипторынки из-за ложного сообщения об одобрении спотового биржевого биткойн-фонда (ETF) с официального аккаунта SEC на платформе социальных сетей X.
В сообщении от 10 января на странице безопасности X было написано, что взлом SEC произошел потому, что неизвестный получил контроль над номером телефона, связанным с учетной записью, и использовал его для получения доступа к официальной странице X SEC. Это более известно как взлом с подменой SIM-карты.
«Мы можем подтвердить, что аккаунт SEC был скомпрометирован, и мы завершили предварительное расследование. По данным нашего расследования, компрометация произошла не из-за какого-либо взлома систем X, а, скорее, из-за того, что неизвестное лицо получило контроль над номером телефона, связанным с учетной записью SEC, через третье лицо», — написала команда безопасности X.
Взлом подмены SIM-карты — это форма кражи личных данных, при которой злоумышленник получает номер телефона жертвы, позволяя ей получить доступ к социальным сетям, банковским и крипто-аккаунтам.
В этом случае хакер, скорее всего, убедил стороннего поставщика телекоммуникационных услуг передать контроль над номером телефона, привязанным к учетной записи SEC. Если бы хакер также знал правильный адрес электронной почты, используемый для входа в учетную запись, он мог бы использовать номер телефона для сброса официального пароля учетной записи SEC и получения доступа.
«Мы также можем подтвердить, что в момент взлома учетной записи не была включена двухфакторная аутентификация», – говорится в сообщении.
Сыщик по блокчейну ZachXBT воспользовался возможностью, чтобы переформулировать предыдущий совет председателя SEC Гэри Генслера по безопасности социальных сетей в юмористическом комментарии, сделанном в ответ на исходный пост о безопасности X.
«Привет Гэри Генслер, это напоминание о необходимости защитить ваши финансовые счета, а также от кражи личных данных и мошенничества.
Запомните:
Используйте надежные кодовые фразы или пароли
Настройте многофакторную аутентификацию
Включите оповещения об аккаунте»,– написал ZachXBT (@zachxbt) 10 января 2024 г.
Сенаторы США Дж. Д. Вэнс и Том Тиллис 9 января написали письмо Генслеру, в котором раскритиковали агентство за отсутствие оперативной безопасности и потребовали объяснить инцидент в течение следующих четырех дней.
«Эти события вызывают серьезную обеспокоенность в отношении внутренних процедур Комиссии по кибербезопасности и противоречат трехсторонней миссии Комиссии по защите инвесторов», — говорится в письме.
«Недопустимо, чтобы агентство, которому поручено регулировать эпицентр мировых рынков капитала, допустило такую колоссальную ошибку», – добавила Пресс-служба сенатора Вэнса (@SenVancePress), 10 января 2024 г.
Письмо Вэнса и Тиллиса присоединилось к растущему списку призывов к прозрачности по этому вопросу, при этом несколько членов Конгресса также потребовали официального расследования инцидента. Сенатор США Билл Хагерти позвонил в Комиссию по ценным бумагам и биржам (SEC) на своей территории, заявив, что, если бы это происшествие было вызвано человеком, находящимся по другую сторону забора, агентство, естественно, потребовало бы расследования.
«Подобно тому, как SEC потребовала бы ответственности от публичной компании, если бы она допустила такую колоссальную ошибку, влияющую на рынок, Конгрессу нужны ответы на то, что только что произошло. Это неприемлемо», – сказал Хагерти.
Сенатор США Синтия Ламисс присоединилась к этой борьбе, потребовав прозрачности в отношении «мошеннических объявлений».
Владелец X и генеральный директор Tesla Илон Маск также воспользовался возможностью, чтобы опровергнуть ранее сделанное на CNBC заявление о том, что взлом SEC стал результатом взлома собственных внутренних систем X.
«Так работают традиционные СМИ», — сказал Маск. Ранее он предположил, что пароль SEC — «LFGDogeToTheMoon».
