Έλλειψη ασφάλειας 2FA της SEC: X για την fake ανάρτηση του Bitcoin ETF

Σύμφωνα με την προκαταρκτική έρευνα της επίσημης ομάδας ασφαλείας του X, η εσφαλμένη ανακοίνωση του Bitcoin ETF από την SEC ήταν η συνέπεια μιας επίθεσης ανταλλαγής SIM.

Σε μια απροσδόκητη αποκάλυψη, η ομάδα ασφαλείας του X (πρώην Twitter) αποκάλυψε ότι η Επιτροπή Κεφαλαιαγοράς των Ηνωμένων Πολιτειών (SEC) δεν χρησιμοποιούσε έλεγχο ταυτότητας δύο παραγόντων (2FA) για τον κύριο λογαριασμό της στο X, αφήνοντάς τον ευάλωτο σε εισβολή χάκερ.

Αυτό το κενό ασφαλείας της SEC ήρθε στο φως μετά από μια πρόσφατη παραβίαση ασφαλείας που προκάλεσε σοκ στις αγορές κρυπτονομισμάτων. Η παραβίαση αφορούσε ψευδή ανακοίνωση της έγκρισης ενός spot διαπραγματεύσιμου αμοιβαίου κεφαλαίου (ETF) Bitcoin από τον επίσημο λογαριασμό της SEC στην πλατφόρμα κοινωνικής δικτύωσης.

Σε μια ανάρτηση με ημερομηνία 10 Ιανουαρίου, η ομάδα ασφαλείας της X εξήγησε ότι η παραβίαση της SEC συνέβη όταν ένα άγνωστο άτομο απέκτησε τον έλεγχο του αριθμού τηλεφώνου που σχετίζεται με το λογαριασμό και τον χρησιμοποίησε για να αποκτήσει πρόσβαση στην επίσημη σελίδα X της SEC. Αυτός ο τύπος επίθεσης αναφέρεται συνήθως ως hack με ανταλλαγή SIM.

Η ομάδα ασφαλείας του X δήλωσε: “Βάσει της έρευνάς μας, ο συμβιβασμός δεν οφείλεται σε παραβίαση των συστημάτων του X, αλλά μάλλον σε ένα άγνωστο άτομο που απέκτησε τον έλεγχο ενός αριθμού τηλεφώνου που σχετίζεται με τον λογαριασμό @SECGov μέσω τρίτου μέρους. Μπορούμε επίσης να επιβεβαιώσουμε ότι ο λογαριασμός δεν είχε ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων κατά τη στιγμή της παραβίασης του λογαριασμού”.

Ένα hack με ανταλλαγή SIM περιλαμβάνει έναν εισβολέα που παίρνει τον έλεγχο του αριθμού τηλεφώνου ενός θύματος, παρέχοντάς του πρόσβαση σε λογαριασμούς κοινωνικών μέσων, τραπεζικούς λογαριασμούς και κρυπτονομίσματα. Σε αυτή την περίπτωση, ο χάκερ πιθανότατα έπεισε έναν τρίτο πάροχο τηλεπικοινωνιών να μεταβιβάσει τον έλεγχο του αριθμού τηλεφώνου που συνδέεται με τον λογαριασμό της SEC. Εάν ο χάκερ κατείχε επίσης τη σωστή διεύθυνση ηλεκτρονικού ταχυδρομείου που συνδέεται με τον λογαριασμό, θα μπορούσε να χρησιμοποιήσει τον αριθμό τηλεφώνου για να επαναφέρει τον επίσημο κωδικό πρόσβασης του λογαριασμού της SEC και να αποκτήσει πρόσβαση.

Ο ερευνητής blockchain ZachXBT αναφέρθηκε με χιούμορ στις προηγούμενες συμβουλές του προέδρου της SEC Gary Gensler σχετικά με την ασφάλεια των μέσων κοινωνικής δικτύωσης σε απάντηση στην ανάρτηση ασφαλείας του X.

Στις 9 Ιανουαρίου, οι γερουσιαστές των Ηνωμένων Πολιτειών J.D. Vance και Thom Tillis έστειλαν επιστολή στην Gensler, επικρίνοντας την SEC για την έλλειψη επιχειρησιακής ασφάλειας και απαιτώντας εξηγήσεις για το περιστατικό εντός τεσσάρων ημερών. Η επιστολή εξέφραζε ανησυχίες σχετικά με τις εσωτερικές διαδικασίες κυβερνοασφάλειας του οργανισμού και τον αντίκτυπό τους στην προστασία των επενδυτών.

Αυτές οι εκκλήσεις για διαφάνεια και έρευνες επαναλήφθηκαν από αρκετά μέλη του Κογκρέσου, συμπεριλαμβανομένου του γερουσιαστή Bill Hagerty, ο οποίος συνέκρινε το σφάλμα της SEC με αυτό μιας δημόσιας εταιρείας και απαίτησε λογοδοσία. Η γερουσιαστής των ΗΠΑ Σύνθια Λάμις ζήτησε επίσης διαφάνεια όσον αφορά τις “δόλιες ανακοινώσεις”.

Ο Elon Musk, ιδιοκτήτης της X και διευθύνων σύμβουλος της Tesla, άδραξε την ευκαιρία για να αμφισβητήσει έναν προηγούμενο ισχυρισμό που διατυπώθηκε στο CNBC ότι το hack της SEC ήταν αποτέλεσμα παραβίασης των εσωτερικών συστημάτων της X. Ο Μασκ είπε χαριτολογώντας: “Έτσι λειτουργούν τα κληροδοτημένα μέσα ενημέρωσης” και υπονόησε παιχνιδιάρικα ότι ο κωδικός πρόσβασης της SEC μπορεί να ήταν “LFGDogeToTheMoon”.

Για περισσότερα ενημερωμένα νέα, βρείτε μας στο Twitter και στις Ειδήσεις ή εγγραφείτε στο κανάλι μας στο YouTube .

Ποια είναι η γνώμη σας για το συγκεκριμένο θέμα; Αφήστε μας το σχόλιο σας από κάτω! Πάντα μας ενδιαφέρει η γνώμη σας!