Ang nangungunang regulator ng Wall Street ay biktima ng “SIM swapping,” isang pamamaraan na ginagamit ng mga manloloko sa internet upang kunin ang kontrol sa mga linya ng telepono, nang ang account nito sa social media platform X, na dating kilala bilang Twitter, ay na-hack noong unang bahagi ng buwang ito, ang US Securities at Sinabi ng Exchange Commission noong Lunes.
Sinabi rin ng SEC na, anim na buwan bago ang pag-atake, inalis ng kawani ang isang karagdagang layer ng proteksyon, na kilala bilang multi-factor authentication (MFA), at hindi ito ibinalik hanggang matapos ang pag-atake noong Enero 9.
Habang dumarami ang pag-asam para sa pag-apruba ng ahensya sa mga produktong exchange-traded na sumusubaybay sa bitcoin, isang hindi kilalang tao o mga tao ang nakakuha ng access sa account, na nag-post ng maling anunsyo na naibigay na ang pag-apruba, na nagdulot ng panandaliang pagtaas sa presyo ng cryptocurrency.
BASAHIN: Sinisiyasat ng US SEC ang pekeng post sa X account nito, hindi pa naaprubahan ang mga bitcoin ETF
Sa split vote, ang komisyon ay nagbigay ng pag-apruba sa sumunod na araw.
Ang pagpapalit ng SIM ay isang pamamaraan kung saan nakontrol ng mga umaatake ang isang numero ng telepono sa pamamagitan ng muling pagtatalaga nito sa isang bagong device.
“Kapag nakontrol na ang numero ng telepono, ni-reset ng hindi awtorisadong partido ang password para sa @SECGov account,” sabi ng isang tagapagsalita ng SEC sa isang pahayag.
Patuloy ang imbestigasyon
Nagsusumikap ang mga ahensyang nagpapatupad ng batas upang matutunan kung paano nanaig ang mga hacker sa mobile carrier ng SEC para lumipat, sabi ng SEC, nang hindi kinikilala ang carrier.
Ang mga mambabatas ay humiling ng mga paliwanag kung paano maaaring iniwan ng SEC ang sarili na nakalantad sa naturang pag-atake, kapag hawak nito ang mga kumpanyang ipinagpalit sa publiko sa mahihirap na kinakailangan sa cybersecurity.
Sinabi rin ng pahayag ng Lunes na dahil sa mga kahirapan sa pag-access sa account, hiniling ng kawani ng SEC sa X Support noong Hunyo ng 2023 na i-disable ang MFA, na maaaring mag-alok ng karagdagang proteksyon laban sa hindi awtorisadong pag-access.
“Ang MFA ay kasalukuyang pinagana para sa lahat ng SEC social media account na nag-aalok nito,” sabi ng pahayag.
Ang isang kinatawan para sa X ay hindi kaagad tumugon sa isang kahilingan para sa komento.
Ang mga ahensya ng US ay nagtakda ng kanilang sariling mga patakaran sa pag-access sa mga social media account ngunit ang mga alituntunin mula sa US National Institute of Standards and Technology ay karaniwang hinihikayat ang paggamit ng MFA, sinabi ng NIST sa Reuters.
Ang insidente ay nasa ilalim ng imbestigasyon ng mga ahensya kabilang ang Opisina ng Inspektor Heneral ng SEC at ang Dibisyon ng Pagpapatupad nito; ang Commodity Futures Trading Commission, na kumokontrol sa bitcoin futures; Federal Bureau of Investigation; Kagawaran ng Hustisya; at Cybersecurity and Infrastructure Security Agency, sinabi ng pahayag.
