De Amerikaanse Securities and Exchange Commission (SEC) is het slachtoffer geworden van een ‘SIM swap’ aanval, wat leidde tot onjuiste berichtgeving over de goedkeuring van Bitcoin (BTC) exchange-traded funds (ETF’s) op 9 januari.
Dit incident heeft geleid tot bezorgdheid over de veiligheid van de informatie van de SEC. Op 22 januari heeft de SEC hier officiële berichtgeving over vrijgegeven.
2FA uitgeschakeld
Zes maanden voor de aanval had de SEC multifactor authenticatie (MFA) geactiveerd voor hun accounts. Echter, op verzoek van een medewerker, werd deze beveiligingsmaatregel door X Support uitgeschakeld vanwege problemen met toegang tot het account. Deze beveiligingsmaatregel werd niet hersteld totdat het account op 9 januari gecompromitteerd werd.
Volgens een woordvoerder van de SEC kreeg een ongeautoriseerde partij controle over een SEC-telefoonnummer dat geassocieerd was met het account, via een ‘SIM swap’ aanval. Deze techniek stelt aanvallers in staat om controle over een telefoonnummer te krijgen door het te laten toewijzen aan een nieuw apparaat.
“Zodra ze controle over het telefoonnummer hadden, resette de ongeautoriseerde partij het wachtwoord van het @SECGov account,” voegde de woordvoerder van de SEC toe. De wetshandhaving is momenteel aan het onderzoeken hoe de ongeautoriseerde partij de telecomaanbieder zover kreeg om de SIM voor het account te veranderen en hoe de partij wist welk telefoonnummer geassocieerd was met het SEC’s X account.
De SEC heeft bevestigd dat er geen bewijs is gevonden dat suggereert dat de ongeautoriseerde partij toegang heeft verkregen tot andere SEC-systemen, gegevens of sociale media-accounts.
Interessant is dat de SEC de volgende dag, op 10 januari, officieel meerdere aanvragen voor spot Bitcoin ETF’s goedkeurde, waarvan de meeste op 11 januari begonnen met handelen.
Dit zorgde voor een ironische wending gezien de valse berichtgeving die een dag eerder had plaatsgevonden.
