SEC X Hesabı SIM Değiştirme Yöntemi Kullanılarak Hacklendi

ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) resmi Twitter hesabı @SECGov, küstah bir dijital aldatma eylemiyle 9 Ocak 2024’te ele geçirildi.

Bu sadece bir şaka değildi; finans dünyasına şok dalgaları gönderdi ve Bitcoin ETF onayına ilişkin sahte bir duyuruyla körüklenen kripto para ticareti çılgınlığını bir an için ateşledi.

Bu olayın ayrıntılarını ortaya çıkarmak, bir güvenlik açığı, hızlı eylem ve devam eden soruşturmaların öyküsünü ortaya çıkarıyor.

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.

Ücretsiz Kayıt Ol

Tweet Sahteciliğinin Zaman Çizelgesi:

• 16:00 ET: Düşünülemez bir şey olur; yetkisiz bir taraf @SECGov hesabının kontrolünü ele geçirir.
• 16:11 ET: SEC’in spot Bitcoin ETF’lerini onayladığını iddia eden bir tweet ortaya çıktı ve kripto piyasasını spekülatif bir kasırgaya sürükledi.
• 16:13 ET: Başka bir şifreli tweet’te sadece “$BTC yazıyor” ve kafa karışıklığını daha da artırıyor.
• 16:26 ET: İhlal konusunda uyarılan SEC, Başkan Gary Gensler’in Twitter’ı aracılığıyla herkese yetkisiz faaliyet konusunda bilgi veren ve böyle bir Bitcoin ETF onayının bulunmadığını açıklayan bir kamu açıklaması yayınladı.
• 16:40-17:30 ET: Güvenliği ihlal edilen erişim nihayet sonlandırıldı, ancak hasar verildi.

Halen devam eden soruşturmalar, bilgisayar korsanının @SECGov hesabıyla ilişkili telefon operatörünü numarasını yeni bir cihaza aktarması için kandırdığı ve böylece hesabın şifre sıfırlama sürecinin kontrolünü ele geçirdiği bir “SIM takas” saldırısına işaret ediyor.

@SECGov X hesabının güvenliği ihlal edildi ve yetkisiz bir gönderi yayınlandı. SEC, spot bitcoin borsasında işlem gören ürünlerin listelenmesini ve ticaretini onaylamadı.

— ABD Menkul Kıymetler ve Borsa Komisyonu (@SECGov) 9 Ocak 2024

Bu, standart bir uygulama olmasına rağmen iki faktörlü kimlik doğrulamanın (MFA) o dönemde şaşırtıcı bir şekilde devre dışı bırakılması nedeniyle kritik bir güvenlik açığının altını çiziyor.

Bir Yanıtın Anatomisi:

Kaosun ortasında SEC’in hızlı tepkisi övgüye değer.

Kamuoyunu derhal uyardılar, asılsız tweetleri sildiler ve hasar kontrolüne giriştiler.

FBI ve SEC’in kendi Genel Müfettiş Ofisi gibi kolluk kuvvetleriyle yapılan işbirliği, kapsamlı bir soruşturmaya olan bağlılığı göstermektedir.

Luta Security Kurucusu Katie Moussou şunları söyledi: “Bilgisayar korsanlarının güvenlik önlemlerini kolayca aşması, MFA için donanım belirteçleri ve telefon taşıyıcılarıyla daha sıkı kimlik doğrulama süreçleri dahil olmak üzere çok katmanlı güvenlik protokollerine olan ihtiyacın altını çiziyor.”

@SECGov saldırısı hayati soruları gündeme getiriyor:

• Bilgisayar korsanı telefon operatörünün güvenliğini nasıl ihlal etti?
• Başka herhangi bir SEC verisi tehlikeye girdi mi?
• Resmi duyurular için sosyal medyaya güvenilmeli mi?