Wall Street’in en üst düzey düzenleyici kurumu, internet dolandırıcılarının telefon hatlarının kontrolünü ele geçirmek için kullandıkları bir teknik olan “SIM takası”nın kurbanı oldu. Bu teknikte, daha önce Twitter olarak bilinen sosyal medya platformu X’teki hesabı bu sabah hacklendi . ABD Menkul Kıymetler ve Borsa Komisyonu Pazartesi günü yaptığı açıklamada .
SEC ayrıca, saldırıdan altı ay önce personelin çok faktörlü kimlik doğrulama (MFA) olarak bilinen ek bir koruma katmanını kaldırdığını ve bunu 9 Ocak saldırısı sonrasına kadar geri yüklemediğini söyledi.
Ajansın bitcoin’i takip eden borsada işlem gören ürünleri onaylaması beklentisi artarken, kimliği belirsiz bir kişi veya kişiler hesaba erişim sağladı ve onayın zaten verildiğine dair yanlış duyuru yayınlayarak kripto para biriminin fiyatında anlık bir sıçramaya neden oldu.
Komisyon, ertesi gün bölünmüş oylamayla onayı verdi .
SIM değiştirme, saldırganların bir telefon numarasını yeni bir cihaza yeniden atayarak kontrolünü ele geçirdiği bir tekniktir.
Bir SEC sözcüsü yaptığı açıklamada, “Telefon numarasının kontrolünü ele geçirdikten sonra, yetkisiz taraf @SECGov hesabının şifresini sıfırladı” dedi.
SEC, operatörün kimliğini belirtmeden, kolluk kuvvetlerinin bilgisayar korsanlarının SEC’in mobil operatörüne geçiş yapmak için nasıl galip geldiklerini öğrenmek için çalıştığını söyledi.
Milletvekilleri , halka açık şirketleri zorlu siber güvenlik gerekliliklerine tabi tutan SEC’in kendisini nasıl böyle bir saldırıya maruz bırakabildiğine dair açıklama talep etti .
Pazartesi günkü açıklamada ayrıca, hesaba erişimdeki zorluklar nedeniyle SEC personelinin, 2023 yılının Haziran ayında X Destek’ten, yetkisiz erişime karşı ek koruma sağlayabilecek MFA’yı devre dışı bırakmasını istediği belirtildi.
Açıklamada, “MFA şu anda onu sunan tüm SEC sosyal medya hesapları için etkindir” dedi.
X’in bir temsilcisi yorum talebine hemen yanıt vermedi.
NIST, Reuters’e verdiği demeçte, ABD kurumlarının sosyal medya hesaplarına erişim konusunda kendi politikalarını belirlediğini ancak ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün yönergelerinin genel olarak MFA kullanımını teşvik ettiğini söyledi.
Olay, SEC Genel Müfettişliği ve onun İcra Dairesi dahil olmak üzere kurumlar tarafından soruşturuluyor; bitcoin vadeli işlemlerini düzenleyen Emtia Vadeli İşlemler Ticaret Komisyonu; Federal Soruşturma Bürosu; Adalet Bakanlığı; Açıklamada, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın yer aldığı belirtildi.