کمیسیون بورس و اوراق بهادار جزئیات بیشتری در مورد نحوه به خطر افتادن حساب رسمی X خود در اوایل ماه جاری ارائه کرده است. که در تنظیم کننده تایید کرد که قربانی یک حمله تعویض سیم کارت شده است و حساب X آن در زمان دسترسی به آن با احراز هویت چند عاملی (MFA) ایمن نشده است.
SEC با اشاره به یک کلاهبرداری رایج که در آن مهاجمان نمایندگان خدمات مشتری را متقاعد میکنند تا شماره تلفنها را به حساب کاربری منتقل کنند، گفت: «SEC تشخیص داد که شخص غیرمجاز کنترل شماره تلفن همراه SEC مرتبط با حساب را در یک حمله آشکار «تعویض سیمکارت» به دست آورده است. دستگاه های جدید “بعد از کنترل شماره تلفن، طرف غیرمجاز رمز عبور حساب @SECGov را بازنشانی کرد.”
هک اکانت ایکس او که بود به منظور ادعای دروغین ETF های بیت کوین تایید شده بود، سوالاتی را در مورد شیوه های امنیتی SEC مطرح کرده است. حسابهای رسانههای اجتماعی دولتی معمولاً باید MFA را فعال کنند. این واقعیت که یکی از افراد برجسته و با تواناییهای بالقوه در حرکت بازار مانند @SECGiv از لایه امنیتی اضافی استفاده نمیکند، قبلاً سؤالاتی را از .
در بیانیه خود، SEC گفت که از کارکنان پشتیبانی X خواسته است تا MFA را در ژوئیه گذشته به دلیل “مشکلات” در دسترسی به حساب خود غیرفعال کنند. در این بیانیه آمده است: «پس از برقراری مجدد دسترسی، MFA تا زمانی که کارکنان آن را پس از در معرض خطر قرار گرفتن حساب در ۹ ژانویه دوباره فعال نکردند، غیرفعال بود. “MFA در حال حاضر برای تمام حساب های رسانه های اجتماعی SEC که آن را ارائه می دهند فعال است.”
در حالی که فقدان MFA احتمالاً کنترل حساب SEC را بسیار آسان کرده است، هنوز سؤالات زیادی در مورد این سوء استفاده وجود دارد، از جمله اینکه مسئولین چگونه می دانستند کدام تلفن با حساب X مرتبط است، چگونه اپراتور ناشناس مخابراتی در معرض کلاهبرداری قرار گرفت و البته چه کسی پشت آن بود. رگولاتور گفت که در حال بررسی این سوالات به همراه وزارت دادگستری، FBI، امنیت داخلی و بازرس کل خود است.
این مقاله ابتدا در Engadget در https://www.engadget.com/the-sec-says-its-x-account-was-taken-over-with-a-sim-swap-attack-004542771.html?src ظاهر شد = rss
منبع: https://www.engadget.com/the-sec-says-its-x-account-was-taken-over-with-a-sim-swap-attack-004542771.html?src=rss