Комиссия по ценным бумагам и биржам (SEC), взломанная в преддверии одобрения биткойн-спотового ETF, наконец, раскрывает, как это произошло: они сами отключили многофакторную проверку

　　Комиссия по ценным бумагам и биржам (SEC), взломанная в преддверии одобрения биткойн-спотового ETF, наконец, раскрывает, как это произошло: они сами отключили многофакторную проверку

　　Комиссия по ценным бумагам и биржам США (SEC) объявила в понедельник, что атака с подменой SIM-карты стала причиной недавнего взлома ее официального аккаунта в X (ранее Twitter).

　　В SEC подтвердили, что, поскольку двухфакторная аутентификация была отключена ими 6 месяцев назад, единственным шагом, который потребовался злоумышленнику для получения полного доступа к учетной записи учреждения, была замена SIM-карты с последующей сменой пароля.

　　Представитель SEC сделал следующее заявление:

　　«Через два дня после инцидента SEC проконсультировалась с оператором связи и установила, что несанкционированная сторона получила контроль над номером мобильного телефона SEC, связанным с учетной записью, посредством очевидной атаки «подмена SIM-карты».

　　Подмена SIM-карты известна как вредоносный процесс, при котором номер телефона переносится на другое устройство без согласия владельца, что позволяет злоумышленнику получать SMS-сообщения и голосовые вызовы, предназначенные для жертвы. Неизвестное лицо, получившее доступ к номеру телефона, может изменить пароль учетной записи.

　　Комиссия по ценным бумагам и биржам (SEC) пояснила, что, хотя многофакторная аутентификация (MFA) ранее была включена в учетной записи @SECGov X, она была отключена службой поддержки X в июле 2023 года из-за проблем с доступом к учетной записи. Далее в заявлении говорится: «MFA был отключен после восстановления доступа до тех пор, пока он не был повторно активирован сотрудниками, когда учетная запись была скомпрометирована 9 января».

　　В SEC заявили, что нет никаких доказательств того, что несанкционированная сторона получила доступ к системам, данным, устройствам SEC или другим учетным записям в социальных сетях. В ведомстве заявили, что «доступ к номеру телефона произошел через оператора связи» и что силовики до сих пор расследуют, как этот человек позволил оператору сменить SIM-карту для учетной записи и откуда сторона узнала, какой номер телефона привязан к учетной записи.

　　Взяв под свой контроль учетную запись SEC, хакер сделал ложное заявление о том, что спотовые ETF Bitcoin одобрены.

　　*Это не инвестиционный совет.