Il team di sicurezza di X (ex Twitter) ha rivelato che la Securities and Exchange Commission (SEC) degli Stati Uniti non aveva abilitato l'autenticazione a due fattori (2FA) sul suo account X principale, permettendo ad un hacker di accedervi.
L'imbarazzante rivelazione ha portato a una violazione della sicurezza che ha scosso i mercati cripto con una falsa notizia sull'approvazione di un exchange-traded fund (ETF) Bitcoin (BTC) spot dall'account ufficiale della SEC.
In un post del 10 Gennaio, il team di sicurezza di X ha scritto che l'hack si è verificato perché un attore non identificato ha preso il controllo del numero di telefono associato all'account e lo ha usato per accedere alla pagina ufficiale della SEC su X. Si tratta di un'operazione più comunemente nota come "SIM swap hack".
Condividiamo un tweet su X di — Safety (@Safety) January 10, 2024
Possiamo confermare che l'account @SECGov è stato compromesso e abbiamo completato un'indagine preliminare. In base alle nostre indagini, la compromissione non è dovuta a una violazione dei sistemi di X, ma piuttosto a un individuo non identificato che ha ottenuto il controllo del numero di telefono...
We can confirm that the account @SECGov was compromised and we have completed a preliminary investigation. Based on our investigation, the compromise was not due to any breach of X’s systems, but rather due to an unidentified individual obtaining control over a phone number…
— Safety (@Safety) January 10, 2024
"In base alle nostre indagini, la compromissione non è dovuta a una violazione dei sistemi di X, ma piuttosto a un individuo non identificato che ha ottenuto il controllo del numero di telefono associato all'account @SECGov tramite una terza parte", ha scritto il team di sicurezza di X.
"Possiamo anche confermare che l'account non aveva l'autenticazione a due fattori abilitata al momento in cui è stato compromesso".
Il SIM swap hack è una forma di furto d'identità in cui un aggressore si appropria del numero di telefono della vittima, consentendole di accedere a social media, conti bancari e crypto.
In questo caso, è probabile che l'hacker abbia convinto un fornitore di telecomunicazioni terzo a cedere il controllo del numero di telefono legato all'account della SEC. Se l'hacker conosceva anche l'indirizzo e-mail corretto utilizzato per accedere all'account, poteva usare il numero di telefono per reimpostare la password dell'account ufficiale della SEC e ottenere l'accesso.
In un commento scherzoso in risposta al post originale sulla sicurezza di X, l'esperto blockchain ZachXBT ha colto l'occasione per riproporre i precedenti consigli del presidente della SEC Gary Gensler sulla sicurezza dei social media.
Condividiamo un tweet su X di — ZachXBT (@zachxbt) January 10, 2024
Ciao @GaryGensler questo è un promemoria per proteggere i tuoi conti finanziari e per proteggerti da furti di identità e frodi.
Ricordate di:
Utilizzare passphrase o password forti
Impostare l'autenticazione a più fattori
Mantenere attivi gli avvisi sui conti correnti #CybersecurityAwarenessMonth pic.twitter.com/KBNOV3KhAJ
Hi @GaryGensler this is a reminder to secure your financial accounts as well as protect against identity theft and fraud.
— ZachXBT (@zachxbt) January 10, 2024
Remember to:
Use strong passphrases or passwords
Set up multifactor authentication
Keep account alerts turned on#CybersecurityAwarenessMonth pic.twitter.com/KBNOV3KhAJ
Il 9 Gennaio i senatori degli Stati Uniti J.D. Vance e Thom Tillis hanno scritto una lettera a Gensler, criticando l'agenzia per la sua mancanza di sicurezza operativa e chiedendo una spiegazione dell'incidente entro i prossimi quattro giorni.
"Questi episodi sollevano serie preoccupazioni riguardo alle procedure interne di sicurezza informatica della Commissione e sono antitetici alla missione tripartita della stessa di proteggere gli investitori", si legge nella lettera.
Condividiamo un tweet su X di — Senator Vance Press Office (@SenVancePress) January 10, 2024
BREAKING: I senatori @JDVance1 & @SenThomTillis chiedono spiegazioni per l'annuncio errato della SEC sull'approvazione degli ETF Bitcoin Spot
"È inaccettabile che l'agenzia incaricata di regolamentare l'epicentro dei mercati dei capitali mondiali commetta un errore così colossale" pic.twitter.com/xG77jM9xAM
BREAKING: Senators @JDVance1 & @SenThomTillis Demand Explanation For The SEC's Errant Announcement Of The Approval Of Spot-Bitcoin ETFs
— Senator Vance Press Office (@SenVancePress) January 10, 2024
"It is unacceptable that the agency entrusted with regulating the epicenter of the world’s capital markets would make such a colossal error." pic.twitter.com/xG77jM9xAM
La lettera di Vance e Thillis si unisce a una serie crescente di richieste di trasparenza sulla questione, con diversi membri del Congresso che chiedono un'indagine ufficiale sull'incidente. Il senatore statunitense Bill Hagerty ha chiamato in causa la SEC, affermando che se questo incidente fosse stato causato da un attore dall'altra parte della barricata, l'agenzia avrebbe naturalmente richiesto un'indagine.
"Proprio come la SEC esigerebbe che una società pubblica rendesse conto del proprio operato se avesse commesso un errore così colossale per il mercato, il Congresso ha bisogno di risposte su quanto è appena accaduto. È inaccettabile".
La senatrice statunitense Cynthia Lumiss si è aggiunta alla mischia, chiedendo trasparenza sugli "annunci fraudolenti".
Elon Musk, proprietario di X e CEO di Tesla, ha colto l'occasione per ribattere a una precedente affermazione della CNBC, secondo la quale l'hacking della SEC sarebbe stato causato da una violazione dei sistemi interni di X.
Condividiamo un tweet su X di — Elon Musk (@elonmusk) January 10, 2024
Ecco come funzionano i media tradizionali
That’s how the legacy media runs
— Elon Musk (@elonmusk) January 10, 2024
"È così che funzionano i media tradizionali", ha dichiarato Musk. Prima aveva suggerito che la password della SEC fosse "LFGDogeToTheMoon".