美国证券交易委员会X账户被黑的新细节:SIM卡交换攻击
美国证券交易委员会X账户被黑的新细节:SIM卡交换攻击
1月9日,一个未经授权的方获得了@SECGov账户的访问权限,并显示了一个虚假帖子,声称该机构已经批准了有史以来第一个现货比特币交易所交易基金。未经授权的帖子发布后,加密货币市场发生了变化,比特币价格一开始飙升至近48000美元。随后,在美国证券交易委员会澄清尚未批准比特币 ETF 之后,比特币价格跌破了 46000 美元。证交会发言人在一份声明中说:"事件发生两天后,经与证交会的电信运营商协商,证交会确定,在一次明显的'SIM 卡交换'攻击中,未经授权的一方获得了与该账户相关的证交会手机号码的控制权。"SIM 卡交换是指未经机主许可将电话号码转移到另一个设备上,从而使坏人接收到本应发送给受害者的短信和语音电话。不明身份者获得电话号码后,重新设置了账户密码。由于美国证券交易委员会没有启用双因素身份验证,因此 SIM 卡交换和随后的密码更改是完全访问该机构账户的唯一两个必要步骤。证交会在声明中说:"虽然 @SECGov X 账户之前启用了多因素身份验证(MFA),但由于访问该账户出现问题,X 支持部门应工作人员的要求于 2023 年 7 月禁用了该功能。一旦重新建立了访问权限,MFA 就一直处于禁用状态,直到 1 月 9 日账户被入侵后工作人员重新启用了它。"目前,美国证券交易委员会所有提供 MFA 功能的社交媒体账户都已启用该功能。该机构有能力为其 X 账户重新开启双因素身份验证,而且不依赖 X 来这样做。在美国证券交易委员会(SEC)在 X 上的账户被入侵后,X 的所有者兼首席技术官埃隆-马斯克(Elon Musk)对该机构进行了嘲讽。马斯克还在Twitter上转发了Twitter安全部在事件发生后发布的一条帖子,称此次泄露"并非由于 X 系统被入侵"。X 没有立即回应 CNBC 提出的关于该平台是否继续与调查人员合作的问题,也没有回应该公司是否计划针对 SEC 账户泄露事件改变与政府机构账户相关的设计或任何功能的问题。美国证券交易委员会表示,没有证据表明未经授权的一方访问了美国证券交易委员会的系统、数据、设备或其他社交媒体账户。相反,该机构表示,"电话号码是通过电信运营商访问的",执法部门仍在调查此人如何"让运营商更改账户的 SIM 卡,以及此人如何知道哪个电话号码与该账户相关联"。证交会表示,它正继续与多个执法和联邦监督实体合作,包括证交会监察长办公室、联邦调查局、国土安全部网络安全和基础设施安全局、商品期货交易委员会、司法部和证交会自己的执法部门。 ...
PC版:
手机版:
