周一,美國證券交易委員會(SEC)披露,其X賬戶的多因素身份驗證(MFA)被禁用,導(dǎo)致本月早些時候,就在比特幣現(xiàn)貨交易所正式批準(zhǔn)之前,發(fā)布了一條虛假帖子。
這起事件發(fā)生在2024年1月9日(星期二),當(dāng)時美國證券交易委員會的@SECGov X賬戶被泄露,出現(xiàn)了關(guān)于批準(zhǔn)現(xiàn)貨比特幣交易所交易基金的未經(jīng)授權(quán)的帖子。
SIM交換攻擊
根據(jù)美國證券交易委員會發(fā)言人1月22日發(fā)布的一份聲明,據(jù)透露,未經(jīng)授權(quán)的一方通過“SIM交換”攻擊獲得了與該賬戶相關(guān)的機構(gòu)手機號碼的控制權(quán)。
這種技術(shù)允許在未經(jīng)授權(quán)的情況下將一個人的電話號碼轉(zhuǎn)移到另一臺設(shè)備。盡管美國證券交易委員會已經(jīng)證實,對該電話號碼的訪問是通過電信運營商而非其系統(tǒng)進行的,但攻擊背后的方法和動機仍在調(diào)查中。
我們可以確認賬號@SECGov被泄露,我們已經(jīng)完成了初步調(diào)查。根據(jù)我們的調(diào)查,妥協(xié)不是因為X的系統(tǒng)遭到任何破壞,而是因為一個身份不明的人控制了一個電話號碼…——安全(@Safety)2024年1月10日
值得注意的是,2023年7月,應(yīng)工作人員的要求,@SECGov X賬戶因訪問問題而被禁用了多因素身份驗證。它一直處于禁用狀態(tài),直到帳戶被泄露后工作人員重新啟用它。目前,所有提供MFA的美國證券交易委員會社交媒體賬戶都啟用了MFA。
這使得未經(jīng)授權(quán)的一方可以在被泄露的賬戶上發(fā)帖,謊稱委員會批準(zhǔn)了比特幣交易所交易基金,并喜歡非美國證券交易委員會賬戶的兩條帖子。
美國證券交易委員會在網(wǎng)絡(luò)安全漏洞中安撫公眾
美國證券交易委員會在聲明中向公眾保證,根據(jù)目前的信息,沒有證據(jù)表明未經(jīng)授權(quán)的一方訪問了其系統(tǒng)、數(shù)據(jù)、設(shè)備或其他社交媒體賬戶。
該機構(gòu)還強調(diào)了其對網(wǎng)絡(luò)安全義務(wù)的承諾,承認對其社交媒體賬戶安全的擔(dān)憂。該團隊仍在評估該事件對機構(gòu)、投資者和市場的影響,并與執(zhí)法部門和聯(lián)邦監(jiān)督實體進行持續(xù)合作。
與此同時,美國證券交易委員會重申,它不使用社交媒體渠道公開自己的行為,這些帖子只會放大其官方網(wǎng)站上的公告。
隨著調(diào)查的繼續(xù),美國證券交易委員會致力于提供有關(guān)該事件的最新情況。它將采取任何必要的補救措施來解決人們對其社交媒體賬戶安全的擔(dān)憂。