US SEC's 'X'-account gehackt met 'SIM-swapping', zegt agentschap

De hoogste toezichthouder op Wall Street was het slachtoffer van "SIM swapping", een techniek die internetfraudeurs gebruiken om de controle over telefoonlijnen over te nemen, toen haar account op het sociale mediaplatform X, voorheen bekend als Twitter, eerder deze maand werd gehackt, aldus de U.S. Securities and Exchange Commission op maandag.

De SEC zei ook dat het personeel zes maanden voor de aanval een extra beschermingslaag, bekend als multi-factor authenticatie, had verwijderd en deze pas na de aanval van 9 januari had hersteld.

Terwijl de verwachtingen toenamen voor de goedkeuring door het agentschap van op de beurs verhandelde producten die bitcoin volgen, kreeg (kregen) een niet-geïdentificeerd persoon (of personen) toegang tot de account en plaatste de valse aankondiging dat de goedkeuring al was verleend, wat een kortstondige sprong in de koers van de cryptocurrency veroorzaakte.

In een stemming in onderdelen verleende de commissie de volgende dag goedkeuring.

SIM-swapping is een techniek waarbij aanvallers de controle over een telefoonnummer krijgen door het aan een nieuw apparaat toe te wijzen.

"Zodra de onbevoegde partij de controle over het telefoonnummer had, resette zij het wachtwoord voor de @SECGov-account," zei een woordvoerder van de SEC in een verklaring.

Wetshandhavingsinstanties zijn aan het uitzoeken hoe de hackers de mobiele provider van de SEC hebben kunnen overhalen om de overstap te maken, zei de SEC, zonder de provider te noemen.

Wetgevers hebben uitleg geëist over hoe de SEC zichzelf aan een dergelijke aanval heeft kunnen blootstellen, terwijl zij beursgenoteerde bedrijven aan strenge cyberbeveiligingseisen houdt.

In de verklaring van maandag stond ook dat vanwege problemen met toegang tot de account, SEC-medewerkers in juni 2023 X Support hadden gevraagd om multifactorauthenticatie uit te schakelen, wat extra bescherming kan bieden tegen ongeautoriseerde toegang.

"MFA is momenteel ingeschakeld voor alle sociale media-accounts van SEC die dit aanbieden," aldus de verklaring.

Een vertegenwoordiger van X reageerde niet onmiddellijk op een verzoek om commentaar.

Het incident wordt onderzocht door instanties, waaronder het SEC Office of Inspector General en haar Division of Enforcement; de Commodity Futures Trading Commission, die bitcoin futures reguleert; Federal Bureau of Investigation; Department of Justice; en Cybersecurity and Infrastructure Security Agency, aldus de verklaring.