SEC 2FA را فعال نکرده بود: تیم ایمنی X در پست جعلی بیت کوین ETF

تیم ایمنی در X (توئیتر سابق) فاش کرده است که کمیسیون بورس و اوراق بهادار ایالات متحده ( SEC) احراز هویت دو مرحله ای (2FA) را در حساب X اصلی خود فعال نکرده بود و به هکر اجازه می داد به آن دسترسی پیدا کند.

افشای شرم آور برای SEC به دنبال یک نقض امنیتی است که امروز بازارهای کریپتو را تکان داد با تأیید نادرست یک صندوق قابل معامله بیت کوین (BTC) (ETF) حساب رسمی SEC در پلت فرم رسانه های اجتماعی.

در پستی در 10 ژانویه، صفحه ایمنی X نوشت که هک SEC به این دلیل رخ داده است که یک بازیگر ناشناس کنترل شماره تلفن مرتبط با حساب را به دست آورده و از آن برای دسترسی به صفحه رسمی X SEC استفاده کرده است. این بیشتر معمولاً به عنوان هک تعویض سیم کارت شناخته می شود .

می توانیم تأیید کنیم که حساب @SECGov در معرض خطر قرار گرفت و ما یک بررسی اولیه را تکمیل کردیم. بر اساس تحقیقات ما، این سازش به دلیل نقض سیستم های X نبود، بلکه به دلیل کنترل یک شماره تلفن توسط یک فرد ناشناس بود…

— Safety (@Safety) 10 ژانویه 2024

“بر اساس تحقیقات ما، سازش به دلیل نقض سیستم های X نبود، بلکه به دلیل کنترل یک فرد ناشناس بر روی شماره تلفن مرتبط با @SECGov بود. از طریق شخص ثالث حساب کنید.» تیم ایمنی X نوشت.

“ما همچنین می توانیم تأیید کنیم که در زمان در معرض خطر قرار گرفتن حساب، احراز هویت دو مرحله ای در حساب فعال نبود.”

هک تعویض سیم کارت نوعی سرقت هویت است که در آن مهاجم شماره تلفن قربانی را تصاحب می کند و به آنها امکان دسترسی به شبکه های اجتماعی، حساب های بانکی و رمزنگاری را می دهد.

در این مورد، هکر احتمالاً یک ارائه‌دهنده مخابراتی شخص ثالث را متقاعد کرده است که کنترل شماره تلفن مرتبط با حساب SEC را واگذار کند. اگر هکر آدرس ایمیل صحیح مورد استفاده برای ورود به حساب را نیز می دانست، می توانست از شماره تلفن برای بازنشانی رمز عبور حساب رسمی SEC و دسترسی به آن استفاده کند.

کاردار بلاک‌چین ZachXBT از این فرصت استفاده کرد و توصیه‌های قبلی خود رئیس SEC، گری جنسلر، در مورد امنیت رسانه‌های اجتماعی را در یک نظر طنزآمیز که در پاسخ به پست ایمنی X اصلی انجام شد، بازنگری کرد.

سلام @GaryGensler این یادآوری برای ایمن سازی حساب های مالی شما و همچنین محافظت در برابر سرقت هویت و کلاهبرداری است.

به خاطر داشته باشید:
از عبارت عبور یا رمز عبور قوی استفاده کنید احراز هویت چند عاملی را تنظیم کنید
هشدارهای حساب را روشن نگه دارید#CybersecurityAwarenessMonth pic.twitter.com/KBNOV3KhAJ

— ZachXBT (@zachxbt) 10 ژانویه 2024

سناتورهای ایالات متحده، جی. در این نامه نوشته شده است: «این تحولات نگرانی‌های جدی را در مورد رویه‌های امنیت سایبری داخلی کمیسیون ایجاد می‌کند و در تضاد با مأموریت سه‌جانبه کمیسیون برای محافظت از سرمایه‌گذاران است».

BREAKING: سناتورها @JDVance1 و @SenThomTillis توضیح تقاضا برای اعلام اشتباه SEC تایید ETF های Spot-Bitcoin

“این غیرقابل قبول است که آژانسی که نظارت بر کانون بازارهای سرمایه جهان را به عهده دارد چنین خطای فاحشی مرتکب شود.” pic.twitter.com/xG77jM9xAM

— دفتر مطبوعاتی سناتور ونس (@SenVancePress) 10 ژانویه 2024

نامه ونس و تیلیس به فهرست رو به رشدی از فراخوان ها برای شفافیت در این زمینه پیوست، با چندین عضو کنگره نیز خواستار تحقیقات رسمی در مورد این حادثه هستند. بیل هگرتی، سناتور ایالات متحده SEC را در زمین خود فراخواند ، گفت: اگر این اتفاق ناگوار توسط یک بازیگر در آن طرف حصار ایجاد شده بود، طبیعتا آژانس درخواست تحقیق می کرد.

“درست مانند SEC که در صورت انجام چنین اشتباه بزرگی در حرکت بازار، از یک شرکت دولتی تقاضای پاسخگویی می کند، کنگره نیز به پاسخ هایی در مورد آنچه که اتفاق افتاده است نیاز دارد. این غیرقابل قبول است.”

مرتبط: تصمیم ETF بیت کوین بعید است به دلیل هک SEC به تعویق بیفتد: مفسران

ایالات متحده سناتور سینتیا لومیس صدای خود را به دعوا اضافه کرد و خواستار شفافیت “اعلامیه های تقلبی” شد.

مالک X و مدیر عامل تسلا، ایلان ماسک نیز از این فرصت استفاده کرد و ادعای قبلی در CNBC مبنی بر هک SEC را پس گرفت. ناشی از نقض سیستم های داخلی خود X است.

رسانه های قدیمی اینگونه کار می کنند

— Elon Musk (@elonmusk) 10 ژانویه 2024

ماسک گفت: “رسانه های قدیمی اینگونه اجرا می شوند.” پیش از این، او پیشنهاد کرد که رمز عبور SEC “LFGDogeToTheMoon” است.

مجله: راز میلیارد دلاری DeFi: افراد داخلی مسئول هک ها