美国证券交易委员会本月早些时候提供了有关其官方 X 账户如何被泄露的更多详细信息。监管机构在一份声明中确认,它是 SIM 卡交换攻击的受害者,并且其 X 账户在被访问时没有受到多重身份验证 (MFA) 的保护。
“SEC 确定,未经授权的一方在一次明显的‘SIM 交换’攻击中获得了对与该账户相关的 SEC 手机号码的控制权,”它指的是一种常见的骗局,其中攻击者说服客户服务代表将电话号码转移到新设备。“一旦控制了电话号码,未经授权的一方就会重置@SECGov 帐户的密码。”
其 X 账户被黑客入侵,目的是谎称比特币 ETF已获得批准,这引发了人们对 SEC 安全实践的质疑。政府运营的社交媒体帐户通常需要启用 MFA。像 @SECGiv 这样备受瞩目且具有潜在市场影响能力的公司不会使用额外的安全层,这一事实已经引起了国会的质疑。
SEC 在声明中表示,去年 7 月,由于 X 的账户访问出现“问题”,它要求 X 的支持人员禁用 MFA。声明称:“一旦重新建立访问权限,MFA 就一直处于禁用状态,直到 1 月 9 日账户被盗后工作人员重新启用它为止。” “目前,所有提供 MFA 的 SEC 社交媒体帐户均已启用 MFA。”
虽然缺乏 MFA 可能使接管 SEC 帐户变得更加容易,但有关该漏洞的利用仍然存在许多问题,包括责任人如何知道哪部手机与 X 帐户相关联、未透露姓名的电信运营商如何陷入骗局以及当然,幕后黑手是谁。该监管机构表示,正在与司法部、联邦调查局、国土安全部及其监察长一起调查这些问题。
本文最初发表在 Engadget 上:https://ift.tt/ZM7NY1d =rss