周一,美国证券交易委员会(SEC)披露,其X账户的多因素身份验证(MFA)被禁用,导致本月早些时候,就在比特币现货交易所正式批准之前,发布了一条虚假帖子。
这起事件发生在2024年1月9日(星期二),当时美国证券交易委员会的@SECGov X账户被泄露,出现了关于批准现货比特币交易所交易基金的未经授权的帖子。
SIM交换攻击
根据美国证券交易委员会发言人1月22日发布的一份声明,据透露,未经授权的一方通过“SIM交换”攻击获得了与该账户相关的机构手机号码的控制权。
这种技术允许在未经授权的情况下将一个人的电话号码转移到另一台设备。尽管美国证券交易委员会已经证实,对该电话号码的访问是通过电信运营商而非其系统进行的,但攻击背后的方法和动机仍在调查中。
我们可以确认账号@SECGov被泄露,我们已经完成了初步调查。根据我们的调查,妥协不是因为X的系统遭到任何破坏,而是因为一个身份不明的人控制了一个电话号码…——安全(@Safety)2024年1月10日
值得注意的是,2023年7月,应工作人员的要求,@SECGov X账户因访问问题而被禁用了多因素身份验证。它一直处于禁用状态,直到帐户被泄露后工作人员重新启用它。目前,所有提供MFA的美国证券交易委员会社交媒体账户都启用了MFA。
这使得未经授权的一方可以在被泄露的账户上发帖,谎称委员会批准了比特币交易所交易基金,并喜欢非美国证券交易委员会账户的两条帖子。
美国证券交易委员会在网络安全漏洞中安抚公众
美国证券交易委员会在声明中向公众保证,根据目前的信息,没有证据表明未经授权的一方访问了其系统、数据、设备或其他社交媒体账户。
该机构还强调了其对网络安全义务的承诺,承认对其社交媒体账户安全的担忧。该团队仍在评估该事件对机构、投资者和市场的影响,并与执法部门和联邦监督实体进行持续合作。
与此同时,美国证券交易委员会重申,它不使用社交媒体渠道公开自己的行为,这些帖子只会放大其官方网站上的公告。
随着调查的继续,美国证券交易委员会致力于提供有关该事件的最新情况。它将采取任何必要的补救措施来解决人们对其社交媒体账户安全的担忧。