La SEC ha disattivato la sicurezza aggiuntiva su X per circa 6 mesi, consentendo agli hacker di entrare
L’autorità di regolamentazione statunitense ha confermato di T aver seguito i propri consigli di sicurezza per gran parte del 2023, lasciandolo aperto a un costoso attacco ai social media che è ancora sotto indagine.
:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/Q732EEHEMZEW3JFZZ3YUBMVQB4.jpg)
- La Securities and Exchange Commission degli Stati Uniti ha riconosciuto che un hacker è riuscito a impossessarsi ONE dei telefoni cellulari dell'agenzia per violare il suo account X e pubblicare post sull'ETF Bitcoin spot.
- L’autorità di regolamentazione aveva disattivato l’autenticazione a più fattori già nel luglio 2023.
La Securities and Exchange Commission (SEC) degli Stati Uniti ha confermato che un hacker ha preso il controllo del suo account X attraverso un attacco "SIM swap" che ha preso il controllo di un telefono cellulare associato all'account. Ciò ha consentito all'outsider di twittare falsamente il 9 gennaio che l'agenzia aveva approvato gli Exchange Traded Funds (ETF) Bitcoin spot, un giorno prima che l'agenzia lo facesse effettivamente.
"L'accesso al numero di telefono è avvenuto tramite l'operatore telefonico, non tramite i sistemi SEC", ha detto lunedì in un comunicato un portavoce dell'agenzia. "Il personale della SEC non ha identificato alcuna prova che la parte non autorizzata abbia avuto accesso ai sistemi, ai dati, ai dispositivi della SEC o ad altri account di social media." La SEC non ha identificato chi fosse l'operatore telefonico.
L'agenzia aveva anche disattivato l'autenticazione a più fattori sull'account nel luglio 2023 "a causa di problemi di accesso all'account", ha affermato il portavoce. Da allora quella protezione è stata riattivata.
L’imbarazzante errore di sicurezza – da parte di un’agenzia ben nota per aver consigliato agli investitori di garantire un’adeguata sicurezza e di mantenere l’autenticazione a più fattori sui loro conti finanziari – ha consentito un post su X sotto l’account @SECGov che ha portato molti a credere che l’agenzia avesse approvato il suo l’attesissima approvazione degli ETF. La falsa notizia ha scosso i Mercati prima che si scoprisse subito che si trattava di un hack.
"Una volta preso il controllo del numero di telefono, la parte non autorizzata ha reimpostato la password dell'account @SECGov", ha detto il portavoce. "Tra le altre cose, le forze dell'ordine stanno attualmente indagando su come la parte non autorizzata abbia convinto l'operatore a cambiare la SIM dell'account e come la parte sapesse quale numero di telefono era associato all'account."
Poco dopo l’hacking, la SEC si è mossa seriamente per approvare gli ETF Bitcoin .
X – precedentemente noto come Twitter – ha condiviso una visione simile sull'hacking della SEC in una dichiarazione due settimane fa , affermando che "il compromesso non è stato dovuto ad alcuna violazione dei sistemi di X, ma piuttosto al fatto che un individuo non identificato ha ottenuto il controllo su un numero di telefono associato con l'account @SECGov tramite una terza parte."
La SEC sta ancora indagando insieme alle forze dell’ordine e alle agenzie di supervisione, tra cui il Federal Bureau of Investigation, il Dipartimento per la sicurezza interna, la Commodity Futures Trading Commission e il Dipartimento di Giustizia.
Gli attacchi SIM swap sono comuni da anni nel Cripto , in cui gli aggressori riescono ad accedere ai numeri di telefono delle vittime, solitamente allo scopo di rubare i loro averi. L'anno scorso , ad esempio, gli utenti di Friend.Tech sono stati presi di mira da hacker che si sono impossessati delle partecipazioni in etere degli utenti.
:format(webp)/www.coindesk.com/resizer/x37dWM_1ORxU2nCUG8EyVsmvF4Y=/arc-photo-coindesk/arc2-prod/public/3CZRUU6QWVDQ5PSXCNWHUB6CY4.png)
Jesse Hamilton is CoinDesk's deputy managing editor for global policy and regulation. He doesn't hold any crypto.