SEC culpa hack de conta de mídia social em ataque 'SIM Swap' em post falso de ETF de Bitcoin

Fredrik Vold

Última atualização:

22 de janeiro de 2024 20:18 EST | 1 min de leitura

Fonte: Adobe / dennizn A Comissão de Valores Mobiliários dos EUA (SEC) revelou que sua conta de mídia social no X foi vítima de um ataque de “troca de SIM” em relação ao post falso sobre a aprovação de fundos negociados em bolsa (ETFs) de Bitcoin no início deste mês.

O incidente, que ocorreu em 9 de janeiro, levou a um aumento temporário no preço do Bitcoin, seguido por uma queda de preço depois que o presidente da SEC, Gary Gensler, disse em sua conta pessoal X que a conta X da SEC havia sido “comprometida”.

A conta @SECGov no Twitter foi comprometida e um tweet não autorizado foi publicado. A SEC não aprovou a listagem e negociação de produtos à vista negociados em bolsa de bitcoin.

— Gary Gensler (@GaryGensler) 9 de janeiro de 2024

Em um comunicado publicado na segunda-feira desta semana, a SEC disse que, seis meses antes do ataque, uma camada adicional de proteção conhecida como autenticação multifator (MFA) havia sido removida pela equipe e só foi restabelecida após o ataque de 9 de janeiro.

A postagem fraudulenta foi seguida por uma votação da comissão no dia seguinte, que resultou na aprovação de todos os pedidos de ETF de Bitcoin à vista.

A troca de SIM envolve atacantes ganhando o controle de um número de telefone ao reatribuí-lo a um novo dispositivo.

Uma vez no controle do número de telefone, a parte não autorizada redefine a senha da conta @SECGov, disse o comunicado.

O novo comunicado do regulador confirma os principais detalhes partilhados pela X Safety já no dia seguinte ao incidente.

Podemos confirmar que a conta @SECGov foi comprometida e concluímos uma investigação preliminar. Com base em nossa investigação, o compromisso não foi devido a qualquer violação de X, mas sim devido a um indivíduo não identificado obtendo controle sobre um número de telefone…

— Segurança (@Safety) 10 de janeiro de 2024

Investigação em curso pela SEC e agências de aplicação da lei

De acordo com o novo comunicado da SEC, as agências de aplicação da lei estão atualmente investigando como os hackers persuadiram a operadora de celular da SEC a facilitar a troca de número de telefone.

A agência não divulgou a identidade da transportadora envolvida.

Tanto legisladores quanto líderes da indústria cripto buscaram explicações para a vulnerabilidade da SEC a tal ataque, especialmente considerando os rigorosos requisitos de segurança cibernética do regulador para empresas de capital aberto.

O incidente está a ser investigado por várias agências, incluindo o Gabinete do Inspetor-Geral da SEC e a sua Divisão de Execução, a Commodity Futures Trading Commission, o Federal Bureau of Investigation, o Departamento de Justiça e a Cybersecurity and Infrastructure Security Agency.

A autenticação multifator agora está habilitada para todas as contas de mídia social da SEC que a oferecem, acrescentou o comunicado da SEC.

Siga-nos no Google Notícias