A Comissão de Valores Mobiliários dos EUA confirmou hoje que sua conta X foi hackeada por meio de um ataque de troca de SIM no número de celular associado à conta.
No início deste mês, a conta X da SEC foi hackeada para emitir um anúncio falso de que a agência havia finalmente aprovado os ETFs de Bitcoin nas bolsas de segurança.
Ironia do destino, a SEC aprovou os ETFs de Bitcoin em um comunicado legítimo no dia seguinte.
No entanto, na época, não estava claro como a conta foi violada, com a SEC afirmando que forneceria atualizações sobre sua investigação à medida que estivessem disponíveis.
Hoje, a SEC confirmou que uma conta de celular associada à conta X sofreu um ataque de troca de SIM.
"Dois dias após o incidente, em consulta com a operadora de telecomunicações da SEC, a SEC determinou que a parte não autorizada obteve controle do número de celular da SEC associado à conta em um aparente ataque de 'troca de SIM'", explica uma declaração atualizada da SEC sobre a violação.
Em ataques de troca de SIM, os atores de ameaças enganam a operadora sem fio da vítima para transferir o número de telefone de um cliente para um dispositivo sob o controle do invasor.
Isso permite que todos os textos e chamadas telefônicas enviados para o dispositivo sejam recuperados pelos hackers, incluindo links de redefinição de senha e códigos de passagem de uma única vez para autenticação multifator (MFA).
Segundo a SEC, os hackers não tiveram acesso aos sistemas internos da agência, dados, dispositivos ou outras contas de mídia social, e a troca de SIM ocorreu enganando a operadora de celular para fazer a transferência do número.
Depois que os atores de ameaças controlaram o número, eles redefiniram a senha para a conta @SECGov para criar o anúncio falso.
A SEC afirma que continua a trabalhar com as autoridades policiais para investigar como os atacantes realizaram o ataque de troca de SIM com a operadora de celular.
A SEC também confirmou que a autenticação multifator não estava ativada na conta, pois haviam pedido ao suporte X para desativá-la quando encontraram problemas para acessar a conta.
Se a MFA estivesse ativada via SMS, os hackers ainda teriam conseguido violar a conta, pois teriam recebido os códigos de passagem únicos.
Porém, se a configuração de segurança tivesse sido configurada para usar um aplicativo de autenticação, isso teria impedido os atores de ameaças de acessar a conta, mesmo depois de os atacantes terem mudado a senha.
Por esse motivo, é sempre aconselhável que a MFA seja usada apenas com uma chave de segurança de hardware ou um aplicativo de autenticação, ao invés de através do SMS.
X foi atormentado no ano passado com contas hackeadas e anúncios maliciosos promovendo golpes de criptomoedas e drenadores de carteira.
Infelizmente, não parece haver um fim à vista, com os usuários agora cansados do que parece ser um fluxo constante de anúncios maliciosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...