Хакер взламав обліковий запис SEC і опублікував фальшиву інформацію про біткоїновий фонд

Американська Комісія з цінних паперів та бірж визнала, що хакер зміг захопити один з мобільних телефонів агентства, щоб взламати їх обліковий запис X та опублікувати інформацію про благосполучний біткоїновий фонд. Регулятор деактивував свій багатофакторний аутентифікаційний механізм ще у липні 2023 року. Секретаріат Комісії з цінних паперів та бірж (SEC) підтвердив, що хакер, скориставшись так званим `SIM-своп` атакою, захопив контроль над обліковим записом X, над яким був прив`язаний мобільний телефон. Це дозволило посторонній особі 9 січня надіслати хибну заяву у своєму твіті про те, що агентство схвалило обмінні фонди біткоїна (ETF), задовго до того, як воно це дійсно зробило. `Доступ до номера телефону відбувся через телекомунікаційного оператора, а не через системи SEC`, - заявив говоритель агентства в понеділок. `Співробітники SEC не виявили жодних доказів, що несанкціонована особа мала доступ до систем SEC, даних, пристроїв чи інших особистих облікових записів в соціальних мережах.` SEC не назвав оператора зв`язку. Агентство також вимкнуло свій багатофакторний аутентифікаційний механізм для цього облікового запису ще в липні 2023 року `у зв`язку з проблемами доступу до облікового запису`, - зазначив говоритель. Зараз ця система захисту вже активована знову. Цей компроміс безпеки, який став об`єктом особливого сорому для агентства, яке завжди наголошувало інвесторам на необхідності вживати належні заходи безпеки та увімкненого багатофакторного аутентифікаційного механізму в їх фінансових облікових записах, призвів до появи публікації в X під обліковим записом @SECGov, що спонукало багатьох вважати, що агентство схвалило довгоочікуване затвердження ETF. Ця хибна новина викликала рух на ринку, поки не було встановлено, що сталося вторгнення. `Отримавши контроль над номером телефону, несанкціонована особа скинула пароль для облікового запису @SECGov`, - заявив говоритель. `Окрім іншого, правоохоронні органи зараз розслідують, як несанкціонована особа змусила оператора зв`язку змінити SIM-карту для цього облікового запису та як вона визначила, з яким номером телефону обліковий запис був пов`язаний.` Вже після вторгнення агентство SEC серйозно зайнялось затвердженням біткоїнових ETF. X - колишнє найменування Twitter - у заяві два тижні тому поділилося схожим підходом до хакерської атаки на SEC, заявивши, що `компроміс не стався через жодну порушення систем X, але через невідому особу, яка отримала контроль над номером телефону, пов`язаним з обліковим записом @SECGov через третю сторону.` SEC продовжує розслідування разом з правоохоронними органами та контролюючими агентствами, включаючи Федеральне бюро розслідувань, Департамент внутрішньої безпеки, Комісію з торгівлі ф`ючерсами та Департамент юстиції. SIM-своп атаки є поширеними в криптосфері вже кілька років, коли зловмисники отримують доступ до номерів телефонів жертв, зазвичай з метою викрасти їх активи. Наприклад, в минулому році зловмисники атакували користувачів Friend.Tech і вкрали їх ефірні монети. Детальніше: SEC коментує вторгнення в їх обліковий запис X та хибну заяву про схвалення біткоїнових ETF