Os senadores Ron Wyden, D-Ore., e Cynthia Lummis, R-Wyo., solicitaram uma investigação sobre um incidente envolvendo uma postagem falsa na conta da Comissão de Valores Mobiliários dos Estados Unidos (SEC) na plataforma X, anteriormente conhecida como Twitter.
Em uma carta compartilhada inicialmente com a Axios, Wyden, que é presidente do Comitê de Finanças do Senado, e Lummis, membro do Comitê Bancário do Senado, pediram à Inspetora-Geral da SEC, Deborah J. Jeffrey, que investigasse o que causou o comprometimento da conta da SEC e a ‘aparente falha da SEC em seguir as melhores práticas de cibersegurança’.
Detalhes do comprometimento e reações
Uma postagem falsa foi enviada para os centenas de milhares de seguidores da SEC na terça-feira, alegando que a agência havia concedido aprovação para a listagem de ETFs de Bitcoin spot, o que não era verdade na época. Após a postagem, o presidente da SEC, Gary Gensler, rapidamente informou por meio de sua conta pessoal que a conta da SEC no X havia sido comprometida.
We can confirm that the account @SECGov was compromised and we have completed a preliminary investigation. Based on our investigation, the compromise was not due to any breach of X’s systems, but rather due to an unidentified individual obtaining control over a phone number…
— Safety (@Safety) January 10, 2024
A plataforma X confirmou que a conta da SEC não tinha autenticação de dois fatores ativada no momento do comprometimento, o que significa que um usuário não precisava verificar sua identidade além de uma senha baseada em frase para obter acesso.
Implicações e próximos passos
Os senadores Wyden e Lummis destacaram a importância de a agência ter habilitado a autenticação multifatorial (MFA) e de ter protegido suas contas com tokens de hardware resistentes a phishing, conhecidos como chaves de segurança.
Eles também apontaram que a SEC já havia sido advertida sobre as práticas inadequadas de cibersegurança em relatórios anteriores do inspetor-geral. Um relatório de dezembro do escritório do inspetor-geral da SEC determinou que o programa de segurança da informação da agência não era eficaz, apesar de alguns progressos feitos.
Wyden e Lummis enfatizaram que um hack resultando na publicação de informações materiais para investidores poderia ter sérios impactos na estabilidade do sistema financeiro e na confiança nos mercados públicos. Eles instaram a investigação das práticas da SEC relacionadas ao uso de MFA, especialmente MFA resistente a phishing, para identificar quaisquer lacunas de segurança restantes.
Resposta da SEC e expectativas futuras
A SEC informou que está trabalhando com o escritório do inspetor-geral e o FBI para entender o que deu errado e prometeu fornecer atualizações conforme apropriado. Wyden e Lummis solicitaram uma atualização sobre a investigação e as medidas de remediação da SEC até 12 de fevereiro.
Outros legisladores também buscaram respostas da SEC nos últimos dias, com republicanos da Câmara exigindo um briefing da agência e outros criticando o manejo da postagem comprometida pela SEC.
A situação destaca a necessidade crítica de práticas robustas de cibersegurança, especialmente para agências governamentais que lidam com informações sensíveis e potencialmente impactantes no mercado.
