A Comissão de Valores Mobiliários (SEC) dos EUA confirmou nesta terça-feira, 23, que sua conta no X (ex-Twitter) foi hackeada por meio de um ataque de troca de SIM — espécie de identidade da linha telefônica — no número de telefone celular associado à conta.
No início deste mês, a conta da SEC no X foi hackeada e na sequência houve a postagem de uma mensagem falsa afirmando que diversos pedidos de gestoras para o lançamento de ETFs de Bitcoin em bolsas de valores mobiliários teriam sido aprovados. Minutos depois, porém, o presidente da autarquia negou a informação.
Ironicamente, o órgão que regula as empresas cotadas em bolsa nos Estados Unidos aprovou ETFs Bitcoin em um anúncio legítimo no dia seguinte. No entanto, na época, não estava claro como a conta foi violada, com a SEC afirmando que forneceria atualizações sobre a investigação assim que estivesse disponível.
Hoje, a SEC confirmou que uma conta de telefone celular associada à conta no X sofreu um ataque de troca de SIM. “Dois dias após o incidente, em consulta com a operadora de telecomunicações, a SEC constatou que a parte não autorizada obteve o controle do número de telefone celular associado à conta no X em um aparente ataque de ‘troca de SIM’”, explica um comunicado de imprensa atualizado da SEC sobre a violação.
Nos ataques de troca de SIM, os operadores da ameaças enganam a operadora móvel da vítima para que transfira o número de telefone do cliente para um dispositivo sob o controle do invasor. Isso permite que todos os textos e chamadas telefônicas enviadas ao dispositivo sejam recuperados pelos hackers, incluindo links de redefinição de senha e senhas únicas para autenticação multifator (MFA).
Veja isso
SEC tem conta no X hackeada e post falso sobre ETFs de Bitcoin
SEC processa SolarWinds alegando controles falhos
De acordo com a SEC, os hackers não tiveram acesso aos sistemas internos, dados, dispositivos ou outras contas de mídia social da agência, e a troca do SIM ocorreu enganando sua operadora de celular para que portasse o número. Depois que controlaram o número, eles redefiniram a senha da conta @SECGov para criar o anúncio falso.
A SEC afirma que continua trabalhando com as autoridades para investigar como os invasores conduziram o ataque de troca de SIM com sua operadora de celular. A agência também confirmou que a autenticação multifator não estava habilitada na conta, pois eles solicitaram ao suporte do X para desativá-la quando encontraram problemas para fazer login na conta.
Para ter acesso ao comunicado da SEC, em inglês, sobre o ataque de troca de SIM do telefone celular associada à conta no X clique aqui.
