SEC 遭駭事件
根據 Zombit 此前報導,在比特幣現貨 ETF 獲得正式批准之前,美國證券交易委員會(SEC)的 X 帳號因遭駭客入侵而發布了虛假的比特幣現貨 ETF 批准公告,導致市場出現波動,而美國參議員更呼籲 SEC 向國會提交相關報告,並對委員會內部的資訊安全程序提出質疑。
入侵原因:SIM 卡交換攻擊
經過調查後,SEC 於本週發布的聲明中表示,一名「未經授權的第三方」透過所謂的「SIM卡交換攻擊」,控制了與該帳戶相關聯的手機號碼,SEC 發言人指出,攻擊者透過電信運營商,而非通過SEC系統,獲得了該電話號碼的訪問權限,且攻擊者在取得控制權後,甚至重置了 SEC 的 X 帳戶密碼。
發言人表示:
「目前,執法部門正在調查未經授權方是如何讓運營商更換該帳戶的SIM卡,以及該方是如何知道哪個電話號碼與該帳戶相關聯…機構的工作人員正在持續與 SEC 的督察長辦公室、聯邦調查局、商品期貨交易委員會、司法部等其他執法實體合作調查。」
為何沒有啟用 MFA?
另一方面,外界普遍批評 SEC 沒有啟用多重要素驗證 (MFA) 以保護帳號安全,面對此質疑,SEC 在聲明中說道:
「儘管之前已在 @SECGov 的 X 賬戶上啟用了多重要素驗證 (MFA),但因為訪問帳號的問題,X 客服在2023 年 7 月應工作人員的要求將其禁用。當 SEC 重新獲得帳號的訪問權限後,MFA 一直處於禁用狀態,直到 1 月 9 日帳號被入侵後,工作人員才重新啟用它。」
此外,該機構的發言人補充表示,目前 SEC 所有社群媒體帳號都已啟用 MFA。
