De Amerikaanse Securities and Exchange Commission zei maandag dat haar officiële account op X (voorheen Twitter) eerder deze maand was gecompromitteerd en dat een SIM-swapping-aanval de boosdoener was, meldde CNBC.

Op 9 januari kreeg een ongeautoriseerde partij toegang tot het @SECGov-account en plaatste een valse post waarin werd beweerd dat het bureau het allereerste Bitcoin-beursgenoteerde fonds ooit had goedgekeurd. De cryptocurrency-markten veranderden na de ongeautoriseerde post, waarbij de Bitcoin-prijzen aanvankelijk naar bijna $48.000 stegen. Vervolgens daalde de Bitcoin-prijs tot onder de $46.000, nadat de SEC duidelijk maakte dat zij geen Bitcoin ETF had goedgekeurd.

"Twee dagen na het incident, en in overleg met de telecommunicatiebedrijven van de SEC, heeft de SEC vastgesteld dat tijdens een schijnbare 'SIM swap'-aanval een ongeautoriseerde partij controle heeft gekregen over het mobiele telefoonnummer van de SEC dat aan het account is gekoppeld", zei een SEC-woordvoerder in een verklaring.

Bij SIM-swapping wordt een telefoonnummer zonder toestemming van de eigenaar naar een ander apparaat overgedragen, waardoor kwaadwillenden sms-berichten en spraakoproepen kunnen ontvangen die voor het slachtoffer bedoeld zijn.

Nadat de onbekende persoon het telefoonnummer had verkregen, heeft hij het accountwachtwoord opnieuw ingesteld. Omdat de SEC geen tweefactorauthenticatie heeft ingeschakeld, zijn het wisselen van de simkaart en de daaropvolgende wijziging van het wachtwoord de enige twee noodzakelijke stappen om volledige toegang te krijgen tot het account van het bureau.

“Terwijl het @SECGovX-account eerder multi-factor authenticatie (MFA) had ingeschakeld, heeft X Support de functie in juli 2023 op verzoek van personeel uitgeschakeld vanwege problemen met de toegang tot het account”, aldus de SEC in een verklaring. "Toen de toegang eenmaal was hersteld, bleef MFA uitgeschakeld totdat het personeel het op 9 januari opnieuw inschakelde nadat het account was gecompromitteerd."

Momenteel is dit ingeschakeld voor alle sociale media-accounts van SEC die MFA-functionaliteit bieden. De instelling heeft de mogelijkheid om tweefactorauthenticatie weer in te schakelen voor haar X-account en is daarvoor niet afhankelijk van X.

Elon Musk, de eigenaar en chief technology officer van X, maakte een grapje tegen de Amerikaanse Securities and Exchange Commission (SEC) nadat zijn rekening op X was gecompromitteerd. Musk retweette na het incident ook een bericht van de beveiligingsafdeling van Twitter, waarin hij zei dat het lek “niet te wijten was aan het feit dat System X was gecompromitteerd”.

X reageerde niet onmiddellijk op vragen van CNBC over de vraag of het platform blijft samenwerken met onderzoekers of dat het bedrijf van plan is het ontwerp of enige functionaliteit met betrekking tot accounts van overheidsinstanties te wijzigen als reactie op de inbreuk op het SEC-account.

De SEC zei dat er geen bewijs is dat een ongeautoriseerde partij toegang heeft gekregen tot de systemen, gegevens, apparatuur of andere sociale media-accounts van de SEC. In plaats daarvan zei de dienst: "Het telefoonnummer was toegankelijk via een telecommunicatiemaatschappij", en de wetshandhaving onderzoekt nog steeds hoe de persoon "de koerier zover kreeg om de simkaart van het account te wijzigen en hoe de persoon wist welk telefoonnummer aan het account was gekoppeld."

De SEC zei dat het blijft samenwerken met meerdere wetshandhavings- en federale toezichthoudende instanties, waaronder het SEC Office of Inspector General, de FBI, de Cybersecurity and Infrastructure Security Agency van het Department of Homeland Security, de Commodity Futures Trading Commission, het ministerie van Justitie en de eigen handhavingsafdeling van de SEC.