SEC X hesabının nasıl çalındığına ilişkin açıklama yaptı
Menkul Kıymetler ve Borsa Komisyonu (SEC) bu ayın başlarında resmi X hesabının nasıl ele geçirildiği hakkında daha fazla ayrıntı paylaştı.
Ufuk Tufan
Düzenleyici, yaptığı açıklamada, bir SIM değiştirme saldırısının kurbanı olduğunu ve X hesabının, erişildiği sırada çok faktörlü kimlik doğrulama (MFA) ile güvence altına alınmadığını doğruladı.
Saldırganların müşteri hizmetleri temsilcilerini telefon numaralarını kendilerine aktarmaya ikna ettiği yaygın bir dolandırıcılığa atıfta bulunarak, "SEC, yetkisiz bir tarafın, açık bir 'SIM takas' saldırısında hesapla ilişkili SEC cep telefonu numarasının kontrolünü ele geçirdiğini belirledi." dedi. "Yetkisiz taraf, telefon numarasının kontrolünü ele geçirdikten sonra @SECGov hesabının şifresini sıfırladı."
Yanlışlıkla Bitcoin ETF'lerinin onaylandığını iddia etmek amacıyla ele geçirilen X hesabının hacklenmesi, SEC'in güvenlik uygulamaları hakkında soruları gündeme getirdi. Devlet tarafından işletilen sosyal medya hesaplarının genellikle MFA'nın etkin olması gerekiyor.
SEC X hesabının nasıl çalındığına ilişkin açıklama yaptı
SEC yaptığı açıklamada, X'in destek personelinden hesap erişimiyle ilgili "sorunlar" nedeniyle geçen temmuz ayında MFA'yı devre dışı bırakmasını istediğini söyledi. "Erişim yeniden sağlandıktan sonra MFA, 9 Ocak'ta hesap ele geçirildikten sonra personel onu yeniden etkinleştirene kadar devre dışı kaldı" dedi. "MFA şu anda onu sunan tüm SEC sosyal medya hesapları için etkin."
MFA'nın olmaması muhtemelen SEC hesabının ele geçirilmesini çok daha kolay hale getirmiş olsa da, sorumluların hangi telefonun X hesabıyla ilişkili olduğunu nasıl bildiği, isimsiz telekom operatörünün dolandırıcılığa nasıl düştüğü, arkasında kimin olduğu gibi bu saldırıyla ilgili hala çok sayıda soru var. Düzenleyici, bu soruları Adalet Bakanlığı, FBI, Ulusal Güvenlik ve kendi Genel Müfettişi ile birlikte araştırdığını söyledi.
