Wall Street’in en üst düzey düzenleyicisi, eskiden Twitter olarak bilinen sosyal medya platformu X’teki hesabının bu ayın başlarında saldırıya uğraması nedeniyle “SIM değişiminin” kurbanı olduğunu söyledi.
ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ayrıca, saldırıdan altı ay önce personelin çok faktörlü kimlik doğrulama (MFA) olarak bilinen ek bir koruma katmanını kaldırdığını ve bunu 9 Ocak saldırısı sonrasına kadar geri yüklemediğini söyledi. .
Ajansın bitcoin’i takip eden borsada işlem gören ürünleri onaylaması beklentisi artarken, kimliği belirsiz bir kişi veya kişiler hesaba erişim sağladı ve onayın zaten verildiğine dair yanlış duyuru yayınlayarak kripto para biriminin fiyatında anlık bir sıçramaya neden oldu.
Komisyon, ertesi gün bölünmüş oylamayla onayı verdi.
SIM değiştirme, saldırganların bir telefon numarasını yeni bir cihaza yeniden atayarak kontrolünü ele geçirdiği bir tekniktir.
Bir SEC sözcüsü yaptığı açıklamada, “Telefon numarasının kontrolünü ele geçirdikten sonra, yetkisiz taraf @SECGov hesabının şifresini sıfırladı” dedi.
SEC, operatörün kimliğini belirtmeden, kolluk kuvvetlerinin bilgisayar korsanlarının SEC’in mobil operatörüne geçiş yapmak için nasıl galip geldiklerini öğrenmek için çalıştığını söyledi.
Milletvekilleri, halka açık şirketleri zorlu siber güvenlik gerekliliklerine tabi tutan SEC’in kendisini nasıl böyle bir saldırıya maruz bırakabildiğine dair açıklama talep etti.
SEC’in son açıklamasında ayrıca, hesaba erişimdeki zorluklar nedeniyle SEC personelinin, Haziran 2023’te X Destek’ten, yetkisiz erişime karşı ek koruma sağlayabilecek MFA’yı devre dışı bırakmasını istediği belirtildi.
Açıklamada, “MFA şu anda onu sunan tüm SEC sosyal medya hesapları için etkindir” dedi.
X’in bir temsilcisi yorum talebine hemen yanıt vermedi.
NIST, ABD kurumlarının sosyal medya hesaplarına erişim konusunda kendi politikalarını belirlediğini ancak ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün yönergelerinin genel olarak MFA kullanımını teşvik ettiğini söyledi. Reuters.
Olay, SEC Genel Müfettişliği ve onun İcra Dairesi dahil olmak üzere kurumlar tarafından soruşturuluyor; bitcoin vadeli işlemlerini düzenleyen Emtia Vadeli İşlemler Ticaret Komisyonu; Federal Soruşturma Bürosu; Adalet Bakanlığı; Açıklamada, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın yer aldığı belirtildi.