اختراق حساب هيئة الأوراق المالية والبورصة الأمريكية على "X"

 قدمت هيئة الأوراق المالية والبورصة مزيدًا من التفاصيل حول كيفية اختراق حساب "X" الرسمي الخاص بها في وقت سابق من هذا الشهر، وأكدت الهيئة التنظيمية، في بيان لها، أنها كانت ضحية لهجوم مبادلة بطاقة SIM وأن حساب X الخاص بها لم يكن مؤمنًا بمصادقة متعددة العوامل (MFA) في وقت الوصول إليه.

 وقالت هيئة الأوراق المالية والبورصة: "قررت هيئة الأوراق المالية والبورصة أن الطرف غير المصرح به سيطر على رقم الهاتف الخليوي التابع لهيئة الأوراق المالية والبورصات المرتبط بالحساب في هجوم واضح لـ"مبادلة بطاقة SIM"، في إشارة إلى عملية احتيال شائعة يقوم فيها المهاجمون بإقناع ممثلي خدمة العملاء بنقل أرقام الهواتف إلى "بمجرد السيطرة على رقم الهاتف، يقوم الطرف غير المصرح له بإعادة تعيين كلمة المرور لحساب @SECGov".

 أثار اختراق حساب X الخاص بها، الذي تم الاستيلاء عليه من أجل الادعاء الكاذب بأنه تمت الموافقة على صناديق الاستثمار المتداولة في البيتكوين، تساؤلات حول الممارسات الأمنية لهيئة الأوراق المالية والبورصات، عادةً ما تكون حسابات وسائل التواصل الاجتماعي التي تديرها الحكومة مطلوبة لتمكين MFA. حقيقة أن شخصًا رفيع المستوى ويتمتع بقدرات محتملة على تحريك السوق مثل @SECGiv لن يستخدم الطبقة الإضافية من الأمان قد أثار بالفعل تساؤلات من الكونجرس.

 وقالت هيئة الأوراق المالية والبورصة في بيانها إنها طلبت من موظفي دعم X تعطيل MFA في يوليو الماضي بعد "مشكلات" في الوصول إلى الحساب، وقالت: “بمجرد استعادة الوصول، ظل MFA معطلاً حتى أعاد الموظفون تمكينه بعد اختراق الحساب في 9 يناير”، "يتم تمكين MFA حاليًا لجميع حسابات وسائل التواصل الاجتماعي التي تقدمها هيئة الأوراق المالية والبورصات (SEC)".

 في حين أن الافتقار إلى MFA من المحتمل أن يجعل من السهل جدًا الاستيلاء على حساب هيئة الأوراق المالية والبورصة، إلا أنه لا تزال هناك العديد من الأسئلة حول الاستغلال، بما في ذلك كيف عرف المسؤولون الهاتف المرتبط بحساب X، وكيف وقعت شركة الاتصالات التي لم يذكر اسمها في عملية الاحتيال و وبالطبع من كان وراء ذلك. وقالت الهيئة التنظيمية إنها تحقق في هذه الأسئلة، جنبًا إلى جنب مع وزارة العدل ومكتب التحقيقات الفيدرالي والأمن الداخلي والمفتش العام الخاص بها.