SEC X hesabının nasıl çalındığına ilişkin açıklama yaptı

Düzenleyici, yaptığı açıklamada, bir SIM değiştirme saldırısının
kurbanı olduğunu ve X hesabının, erişildiği sırada
çok faktörlü kimlik doğrulama (MFA) ile güvence
altına alınmadığını doğruladı.

Saldırganların müşteri hizmetleri temsilcilerini telefon
numaralarını kendilerine aktarmaya ikna ettiği yaygın bir
dolandırıcılığa atıfta bulunarak, “SEC, yetkisiz bir tarafın, açık
bir ‘SIM takas’ saldırısında hesapla ilişkili SEC cep telefonu
numarasının kontrolünü ele geçirdiğini belirledi.” dedi. “Yetkisiz
taraf, telefon numarasının kontrolünü ele geçirdikten sonra @SECGov
hesabının şifresini sıfırladı.”

Yanlışlıkla Bitcoin ETF’lerinin onaylandığını
iddia etmek amacıyla ele geçirilen X hesabının hacklenmesi,
SEC’in güvenlik uygulamaları hakkında soruları
gündeme getirdi. Devlet tarafından işletilen
sosyal medya hesaplarının genellikle MFA’nın etkin
olması gerekiyor.

SEC X hesabının nasıl çalındığına ilişkin açıklama yaptı

SEC yaptığı açıklamada, X’in destek
personelinden hesap erişimiyle ilgili “sorunlar” nedeniyle geçen
temmuz ayında MFA’yı devre dışı bırakmasını
istediğini söyledi. “Erişim yeniden sağlandıktan sonra
MFA, 9 Ocak’ta hesap ele geçirildikten sonra
personel onu yeniden etkinleştirene kadar devre dışı kaldı” dedi.
“MFA şu anda onu sunan tüm SEC sosyal medya hesapları için
etkin.”

MFA’nın olmaması muhtemelen SEC hesabının ele
geçirilmesini çok daha kolay hale getirmiş olsa da, sorumluların
hangi telefonun X hesabıyla ilişkili olduğunu nasıl bildiği,
isimsiz telekom operatörünün dolandırıcılığa nasıl
düştüğü, arkasında kimin olduğu gibi bu saldırıyla ilgili hala çok
sayıda soru var. Düzenleyici, bu soruları Adalet Bakanlığı, FBI,
Ulusal Güvenlik ve kendi Genel Müfettişi ile birlikte araştırdığını
söyledi.