La SEC : Les comptes de médias sociaux se sont piratés dans une attaque par le biais d'un passeport
JAKARTA - La principale autorité de réglementation financière de Wall Street a été victime du « swaping SIM », une technique utilisée par les escrocs sur Internet pour prendre le contrôle du téléphone, lorsque leurs comptes sur la plate-forme de médias sociaux X, ont été piratés plus tôt ce mois-ci. Cela a été annoncé par la Securities and Exchange Commission (SEC) des États-Unis le lundi 22 janvier.
La SEC a également révélé que six mois avant l’attaque, le personnel avait supprimé une couche de protection supplémentaire connue sous le nom d’authentication à plusieurs facteurs (MFA) et l’avait pas rendue avant l’attaque du 9 janvier.
Alors que l’anticipation augmenterait pour l’approbation de produits basés sur Bitcoin négociés en bourse, une personne ou plusieurs personnes inconnues ont accédé avec succès au compte de la SEC, téléchargeant une fausse annonce selon laquelle l’approbation avait été accordée, provoquant une flambée du prix de la crypto-monnaie pendant une période. Lors d’un vote épargné, la commission a donné son approbation le lendemain.
Le pass de passe de passe est une technique dans laquelle un attaquant prend le contrôle du numéro de téléphone en le déplaçant vers un nouvel appareil. « Après avoir vérifié le numéro de téléphone, les parties non autorisées ont perquisitionné un mot de passe pour le compte @SECGov », a déclaré un porte-parole de la SEC dans un communiqué.
Les agences d’application de la loi tentent de découvrir comment les pirates ont réussi à persuader les opérateurs mobiles de la SEC de déplacer des numéros, sans identifier l’opérateur. Les législateurs exigeent une explication sur la façon dont la SEC peut laisser leurs défenses ouvertes contre de telles attaques, même s’ils imposent des exigences de cybersécurité strictes aux entreprises publiquement commercialisées.
Dans un communiqué lundi dernier, il a également mentionné que en raison de difficultés à accéder au compte, le personnel de la SEC avait demandé le soutien de X en juin 2023 pour désactiver le MFA, ce qui pourrait fournir une protection supplémentaire contre l’accès non autorisé. « La MFA est actuellement activée pour tous les comptes de médias sociaux de la SEC qu’elle présente », peut-on lire dans le communiqué.
Un représentant de X n’a pas immédiatement répondu à une demande de commentaire. Les agences américaines ont établi leurs propres politiques concernant l’accès aux comptes de médias sociaux, mais les directives du National Institute of Standard and Technology (Nrt) des États-Unis encouragent généralement l’utilisation du MFA, a déclaré Nprav.
L’incident fait l’objet d’une enquête par divers institutions, dont le Bureau général de l’inspecteur de la SEC et sa Division d’application de la loi; La Commission de négociation sur les futurs de biens, qui réglemente les futurs de bitcoins; Le Bureau fédéral d’enquête; Le ministère de la Justice; et l’Agence de cybersécurité et de sécurité des infrastructures, ont indiqué le communiqué.