A Comissão de Valores Mobiliários dos Estados Unidos (SEC) confirmou ter sido vítima de um ataque de ‘SIM swap’, que resultou em uma publicação falsa em sua conta no X em 9 de janeiro, anunciando prematuramente a aprovação de fundos de investimento em Bitcoin (ETFs).
Dois dias após o incidente, em consulta com a operadora de telecomunicações da SEC, foi determinado que uma parte não autorizada obteve controle sobre o número de celular associado à conta da SEC em um aparente ataque de ‘SIM swap’.
Uma vez no controle do número de telefone, a parte não autorizada redefiniu a senha para a conta @SECGov.
Desativação da autenticação multifatorial
A SEC revelou que, seis meses antes do ataque, um membro da equipe removeu a autenticação multifatorial (MFA) como uma camada adicional de proteção devido a problemas de acesso à conta.
A medida de segurança não foi restaurada até depois do ataque de 9 de janeiro. A MFA está agora habilitada para todas as contas de mídia social da SEC que a oferecem.
We can confirm that the account @SECGov was compromised and we have completed a preliminary investigation. Based on our investigation, the compromise was not due to any breach of X’s systems, but rather due to an unidentified individual obtaining control over a phone number…
— Safety (@Safety) January 10, 2024
A plataforma X confirmou em 9 de janeiro que a conta da SEC no X foi comprometida, observando que a SEC não configurou a autenticação de dois fatores para sua conta quando foi comprometida.
Investigação e resposta ao incidente
A falta de MFA na conta da SEC atraiu críticas de alguns em Washington D.C., que pediram uma investigação sobre o assunto. A SEC afirmou que uma ‘parte não autorizada’ obteve controle sobre um número de celular da SEC associado à conta em um aparente ataque de ‘SIM swap’.
O acesso ao número de telefone ocorreu via operadora de telecomunicações, não através dos sistemas da SEC. A equipe da SEC não identificou nenhuma evidência de que a parte não autorizada tenha acessado outros sistemas, dados, dispositivos ou contas de mídia social da SEC.
A equipe da SEC está continuando a trabalhar com o Escritório do Inspetor Geral da SEC, o FBI, a Commodity Futures Trading Commission, o Departamento de Justiça, entre outras entidades policiais.
