美国证券交易委员会周一表示,本月早些时候,其 X(前身为 Twitter)官方账户的泄露应归咎于 SIM 卡交换攻击。
1 月 9 日,未经授权的一方获得了 @SECGov 帐户的访问权限,并发布了一条虚假帖子,声称该机构已批准有史以来第一个现货比特币
交易所交易基金。在未经授权的帖子发布后,加密货币市场发生了变化,比特币价格最初从当天略高于 45,000 美元的低点飙升至近 48,000 美元。随后,在 SEC 澄清尚未批准比特币 ETF 后,价格 跌破 46,000 美元。
“事件发生两天后,在与 SEC 的电信运营商协商后,SEC 确定未经授权的一方通过明显的‘SIM 交换’攻击获得了对与该账户相关的 SEC 手机号码的控制权,”SEC 发言人在一份声明中表示。陈述。
SIM 交换是指在未经所有者许可的情况下将电话号码转移到另一台设备,从而使不良行为者能够接收针对受害者的短信和语音呼叫。
通过访问该电话号码,身份不明的人可以重置帐户密码。由于 SEC 没有启用双因素身份验证,因此 SIM 卡交换和随后的密码更改是获得对该机构帐户的完全访问权限所需的唯一两个步骤。
SEC 在声明中表示:“虽然 @SECGov X 账户之前已启用多重身份验证 (MFA),但由于访问该账户出现问题,X 支持应工作人员的要求于 2023 年 7 月禁用了多重身份验证 (MFA)。”
声明继续说道:“一旦重新建立访问权限,MFA 就一直处于禁用状态,直到 1 月 9 日账户被盗后工作人员重新启用它为止。” “目前,所有提供 MFA 的 SEC 社交媒体帐户均已启用 MFA。”
该机构能够为其 X 帐户重新启用双因素身份验证,并且不依赖 X 来执行此操作。
X 的所有者兼首席技术官埃隆·马斯克 (Elon Musk)在 X 账户被盗后嘲笑了与他多年来发生冲突的美国证券交易委员会 (SEC)。事件发生后,马斯克 还转发了 Twitter Safety 的一篇帖子 ,称此次泄露“并非由于 X 系统遭到破坏”。
X 没有立即回应 CNBC 的问题,即该平台是否继续与调查人员合作,或者该公司是否计划改变其设计或与政府机构账户相关的任何功能,以应对 SEC 账户泄露事件。
网络安全专家 Chris Pierson 告诉 CNBC,SIM 交换攻击已成为政府机构和企业面临的更大安全威胁。
前成员皮尔森表示:“最初,这些攻击作为犯罪分子劫持个人加密货币钱包或账户的一种手段而蓬勃发展,但现在它们被其他犯罪分子和民族国家武器化,用途更广泛。”国土安全部网络安全小组委员会和隐私委员会。
现任网络安全和数字隐私保护公司 BlackCloak 首席执行官的皮尔森补充道,越来越多的有影响力的社交媒体账户被有针对性地收购,以实施拉高抛售股票计划,造成声誉损害并传播虚假信息。
他说:“虽然这正成为一个更加严重的问题,但我们仍然看到许多机构和公司在这些账户的安全方面继续犯下基本错误。”
美国证券交易委员会表示,没有证据表明未经授权的一方访问了该机构的系统、数据、设备或其他社交媒体帐户。相反,美国证券交易委员会表示,“通过电信运营商获取电话号码”,执法部门仍在调查此人如何“让运营商更改账户的 SIM 卡,以及当事人如何知道关联的电话号码”与帐户。”
SEC 表示,将继续与多个执法和联邦监督实体合作,包括 SEC 监察长办公室、FBI、国土安全部网络安全和基础设施安全局、商品期货交易委员会、司法部和SEC 自己的执法部门。