JAKARTA - Otoritas regulator keuangan terkemuka Wall Street menjadi korban "SIM swapping," teknik yang digunakan oleh penipu internet untuk mengambil alih kendali telepon, ketika akun mereka di platform media sosial X, diretas awal bulan ini. Hal ini diumumkan oleh Securities and Exchange Commission (SEC) Amerika Serikat pada Senin, 22 Januari.
SEC juga mengungkapkan bahwa enam bulan sebelum serangan itu terjadi, staf telah menghapus lapisan perlindungan tambahan yang dikenal sebagai multi-factor authentication (MFA), dan tidak mengembalikannya hingga setelah serangan pada 9 Januari.
Ketika antisipasi meningkat terhadap persetujuan produk berbasis bitcoin yang diperdagangkan di bursa, seseorang atau beberapa orang yang tidak diketahui berhasil mengakses akun SEC, mengunggah pengumuman palsu bahwa persetujuan telah diberikan, menyebabkan lonjakan harga cryptocurrency tersebut untuk sesaat. Dalam pemungutan suara yang terpecah, komisi memberikan persetujuan keesokan harinya.
SIM swapping adalah teknik di mana penyerang mengambil kendali atas nomor telepon dengan mengalihkannya ke perangkat baru. "Setelah mengendalikan nomor telepon, pihak yang tidak sah mereset kata sandi untuk akun @SECGov," kata juru bicara SEC dalam pernyataan.
Agensi penegak hukum sedang berupaya mencari tahu bagaimana para peretas berhasil membujuk operator seluler SEC untuk melakukan perpindahan nomor, tanpa mengidentifikasi operator tersebut. Para legislator menuntut penjelasan tentang bagaimana SEC bisa meninggalkan pertahanan mereka terbuka terhadap serangan semacam itu, padahal mereka memberlakukan persyaratan keamanan siber yang ketat pada perusahaan yang diperdagangkan secara publik.
BACA JUGA:
Pernyataan Senin lalu juga menyebutkan bahwa karena kesulitan mengakses akun, staf SEC telah meminta dukungan dari X pada Juni 2023 untuk menonaktifkan MFA, yang dapat memberikan perlindungan tambahan terhadap akses yang tidak sah. "MFA saat ini diaktifkan untuk semua akun media sosial SEC yang menawarkannya," demikian bunyi pernyataan tersebut.
Seorang perwakilan dari X tidak segera menanggapi permintaan untuk komentar. Badan-badan AS menetapkan kebijakan mereka sendiri tentang akses ke akun media sosial, tetapi pedoman dari National Institute of Standards and Technology (NIST) AS umumnya mendorong penggunaan MFA, kata NIST.
Kejadian ini sedang diselidiki oleh berbagai lembaga, termasuk Kantor Inspektur Jenderal SEC dan Divisi Penegakan Hukumnya; Commodity Futures Trading Commission, yang mengatur bitcoin futures; Federal Bureau of Investigation; Departemen Kehakiman; dan Cybersecurity and Infrastructure Security Agency, demikian dijelaskan dalam pernyataan tersebut.