Düzenleyici, yaptığı açıklamada, bir SIM değiştirme saldırısının kurbanı olduğunu ve X hesabının, erişildiği sırada çok faktörlü kimlik doğrulama (MFA) ile teminat altına alınmadığını doğruladı.
Saldırganların müşteri hizmetleri temsilcilerini telefon numaralarını kendilerine aktarmaya ikna ettiği yaygın bir dolandırıcılığa atıfta bulunarak, “SEC, yetkisiz bir tarafın, açık bir ‘SIM takas’ akınında hesapla bağlantılı SEC cep telefonu numarasının denetimini ele geçirdiğini belirledi.” dedi. “Yetkisiz taraf, telefon numarasının denetimini ele geçirdikten sonra @SECGov hesabının şifresini sıfırladı.”
Yanlışlıkla Bitcoin ETF’lerinin onaylandığını sav etmek gayesiyle ele geçirilen X hesabının hacklenmesi, SEC’in güvenlik uygulamaları hakkında soruları gündeme getirdi. Devlet tarafından işletilen toplumsal medya hesaplarının çoklukla MFA’nın aktif olması gerekiyor.
SEC X hesabının nasıl çalındığına ait açıklama yaptı
SEC yaptığı açıklamada, X’in takviye işçisinden hesap erişimiyle ilgili “sorunlar” nedeniyle geçen temmuz ayında MFA’yı devre dışı bırakmasını istediğini söyledi. “Erişim tekrar sağlandıktan sonra MFA, 9 Ocak’ta hesap ele geçirildikten sonra işçi onu yine etkinleştirene kadar devre dışı kaldı” dedi. “MFA şu anda onu sunan tüm SEC toplumsal medya hesapları için aktif.”
MFA’nın olmaması muhtemelen SEC hesabının ele geçirilmesini çok daha kolay hale getirmiş olsa da, sorumluların hangi telefonun X hesabıyla bağlı olduğunu nasıl bildiği, isimsiz telekom operatörünün dolandırıcılığa nasıl düştüğü, gerisinde kimin olduğu üzere bu taarruzla ilgili hala çok sayıda soru var. Düzenleyici, bu soruları Adalet Bakanlığı, FBI, Ulusal Güvenlik ve kendi Genel Müfettişi ile birlikte araştırdığını söyledi.