SEC: احراز هویت چند عاملی قبل از ارسال نادرست، تأیید ETF را غیرفعال کرده است.

در روز سه‌شنبه، ۹ ژانویه ۲۰۲۴، حساب SECGov X@ SEC به خطر افتاد و پست‌های غیرمجاز در مورد تأیید معامله بیت‌کوین منتشر شد. این پست‌ها باعث ایجاد تردیدهایی درباره قابلیت اعتماد و صحت تصمیم‌گیری‌های مرتبط با بیت‌کوین شدند.

حمله تعویض سیم کارت

به تاریخ ۲۲ ژانویه، سخنگوی SEC  اعلام کرد که طرف غیرمجازی، از طریق یک حمله “تعویض سیم کارت”، کنترل شماره تلفن همراه آژانس مرتبط با حساب را به دست آورده است.

این روش به افراد اجازه می‌دهد تا شماره تلفن خود را به دستگاه دیگری منتقل کنند، بدون اجازه صاحب شماره. در حالی که SEC تأیید کرده است که دسترسی به شماره تلفن از طریق اپراتور مخابراتی و نه سیستم های داخلی انجام شده است، هنوز انگیزه و روش انجام این حمله در دست بررسی قرار دارد.

ما تأیید می‌کنیم که حساب @SECGov در خطر قرار گرفته است و تحقیقات اولیه را تکمیل کرده‌ایم. براساس تحقیقات ما، علت غیرفعال بودن حساب ناشی از نقض سیستم X نبوده است، بلکه به دلیل کنترل شماره تلفن توسط یک فرد ناشناس بوده است.

لازم به ذکر است که احراز هویت چندعاملی برای حساب @SECGov X در ماه ژوئیه ۲۰۲۳ به درخواست کارکنان به دلیل مشکلات دسترسی غیرفعال شده بود. اما پس از اینکه حساب در معرض خطر قرار گرفت، کارکنان آن را دوباره فعال نکردند و آن به حالت غیرفعال باقی ماند. در حال حاضر، استفاده از احراز هویت چندعاملی برای تمامی حساب‌های رسانه‌های اجتماعی SEC که این امکان را فراهم می‌کند فعال است.

این به طرف غیرمجاز اجازه می‌دهد تا در حساب در معرض خطر پست بگذارد و به دروغ تأیید کمیسیون را مبنی بر وجوه قابل معامله در بورس بیت‌کوین اعلام کرده و دو پست حساب‌های غیر SEC را لایک کند.

SEC به مردم در میان نقض امنیت سایبری اطمینان می دهد

در بیانیه خود، SEC به مردم تضمین کرده است که بر اساس اطلاعات فعلی، هیچ مدرکی در دست نیست که نشان دهد طرف غیرمجازی به سیستم‌ها، داده‌ها، دستگاه‌ها یا سایر حساب‌های رسانه اجتماعی آژانس دسترسی داشته باشد.

همچنین، SEC به نگرانی‌ها درباره امنیت حساب‌های رسانه‌های اجتماعی خود توجه کرده و تأکید کرده است که به تعهدات امنیت سایبری خود پایبند است. این آژانس در تعامل مداوم با مجری قوانین و نهادهای نظارتی فدرال، در حال ارزیابی تأثیرات این حادثه بر آژانس، سرمایه‌گذاران و بازار است.

در عین حال، SEC دوباره تأکید کرده است که از رسانه‌های اجتماعی برای اطلاع‌رسانی به عموم استفاده نمی‌کند و پست‌هایی که در این کانال‌ها منتشر می‌شوند، صرفاً اعلامیه‌های رسمی منتشر شده در وب‌سایت خود را تقویت می‌کنند.

با پیشرفت تحقیقات، SEC متعهد به ارائه به‌روزرسانی‌های مربوط به این حادثه است. هرگونه تدابیر اصلاحی مورد نیاز به منظور برطرف کردن نگرانی‌های مرتبط با امنیت حساب‌های رسانه‌های اجتماعی خود، انجام خواهد شد.