Düzenleyici, yaptığı açıklamada, bir SIM değiştirme saldırısının kurbanı olduğunu ve X hesabının, erişildiği sırada çok faktörlü kimlik doğrulama (MFA) ile teminat altına alınmadığını doğruladı.
Saldırganların müşteri hizmetleri temsilcilerini telefon numaralarını kendilerine aktarmaya ikna ettiği yaygın bir dolandırıcılığa atıfta bulunarak, “SEC, yetkisiz bir tarafın, açık bir ‘SIM takas’ taarruzunda hesapla bağlantılı SEC cep telefonu numarasının denetimini ele geçirdiğini belirledi.” dedi. “Yetkisiz taraf, telefon numarasının denetimini ele geçirdikten sonra @SECGov hesabının şifresini sıfırladı.”
Yanlışlıkla Bitcoin ETF’lerinin onaylandığını tez etmek hedefiyle ele geçirilen X hesabının hacklenmesi, SEC’in güvenlik uygulamaları hakkında soruları gündeme getirdi. Devlet tarafından işletilen toplumsal medya hesaplarının ekseriyetle MFA’nın aktif olması gerekiyor.
SEC X hesabının nasıl çalındığına ait açıklama yaptı
SEC yaptığı açıklamada, X’in dayanak işçisinden hesap erişimiyle ilgili “sorunlar” nedeniyle geçen temmuz ayında MFA’yı devre dışı bırakmasını istediğini söyledi. “Erişim yine sağlandıktan sonra MFA, 9 Ocak’ta hesap ele geçirildikten sonra işçi onu yine etkinleştirene kadar devre dışı kaldı” dedi. “MFA şu anda onu sunan tüm SEC toplumsal medya hesapları için aktif.”
MFA’nın olmaması muhtemelen SEC hesabının ele geçirilmesini çok daha kolay hale getirmiş olsa da, sorumluların hangi telefonun X hesabıyla bağlantılı olduğunu nasıl bildiği, isimsiz telekom operatörünün dolandırıcılığa nasıl düştüğü, ardında kimin olduğu üzere bu akınla ilgili hala çok sayıda soru var. Düzenleyici, bu soruları Adalet Bakanlığı, FBI, Ulusal Güvenlik ve kendi Genel Müfettişi ile birlikte araştırdığını söyledi.