SEC desligou a segurança extra no X por cerca de 6 meses, permitindo que o hacker entrasse
O regulador dos EUA confirmou que T seguiu os seus próprios conselhos de segurança durante grande parte de 2023, deixando-o aberto a um dispendioso hacking nas redes sociais que ainda está sob investigação.
- A Comissão de Valores Mobiliários dos EUA reconheceu que um hacker conseguiu assumir o controle de um dos telefones celulares da agência para invadir sua conta X e postar sobre o ETF Bitcoin à vista.
- O regulador desativou sua autenticação multifator já em julho de 2023.
A Comissão de Valores Mobiliários dos EUA (SEC) confirmou que um hacker assumiu o controle de sua conta X por meio de um ataque de “troca de SIM” que assumiu o controle de um telefone celular associado à conta. Isso permitiu que o estranho twittasse falsamente em 9 de janeiro que a agência havia aprovado fundos negociados em bolsa (ETFs) de Bitcoin à vista, um dia antes de a agência realmente fazê-lo.
“O acesso ao número de telefone ocorreu através da operadora de telecomunicações, não através dos sistemas SEC”, disse um porta-voz da agência em comunicado na segunda-feira. “A equipe da SEC não identificou nenhuma evidência de que a parte não autorizada obteve acesso aos sistemas, dados, dispositivos da SEC ou outras contas de mídia social.” A SEC não identificou quem era a operadora de telecomunicações.
A agência também desativou a autenticação multifator da conta em julho de 2023 “devido a problemas de acesso à conta”, disse o porta-voz. Essa proteção já foi ativada novamente.
O embaraçoso lapso de segurança – de uma agência conhecida por aconselhar os investidores a garantir a segurança adequada e manter a autenticação multifatorial em suas contas financeiras – permitiu uma postagem em X na conta @SECGov que levou muitos a acreditar que a agência havia assinado seu aprovação ansiosamente aguardada para os ETFs. As notícias falsas movimentaram os Mercados antes de serem rapidamente consideradas um hack.
“Uma vez sob controle do número de telefone, a parte não autorizada redefiniu a senha da conta @SECGov”, disse o porta-voz. “Entre outras coisas, a aplicação da lei está atualmente investigando como a parte não autorizada conseguiu que a operadora alterasse o SIM da conta e como a parte sabia qual número de telefone estava associado à conta”.
Pouco depois do hack, a SEC agiu seriamente para aprovar ETFs de Bitcoin .
X – anteriormente conhecido como Twitter – compartilhou uma opinião semelhante sobre o hack da SEC em um comunicado há duas semanas , dizendo que “o comprometimento não foi devido a qualquer violação dos sistemas de X, mas sim devido a um indivíduo não identificado obter controle sobre um número de telefone associado com a conta @SECGov através de terceiros."
A SEC ainda está investigando junto com agências de aplicação da lei e supervisão, incluindo o Federal Bureau of Investigation, o Departamento de Segurança Interna, a Commodity Futures Trading Commission e o Departamento de Justiça.
Os ataques de troca de SIM têm sido comuns em Cripto há anos, com os invasores obtendo acesso aos números de telefone das vítimas, geralmente com o objetivo de roubar seus ativos. Os usuários do Friend.Tech foram alvos no ano passado , por exemplo, de invasores roubando os ativos de éter dos usuários.