ذكرت هيئة الأوراق المالية والبورصة الأمريكية يوم الاثنين أن حسابها الرسمي على X (تويتر سابقًا) تعرض للاختراق في وقت سابق من هذا الشهر وأن هجوم مبادلة بطاقة SIM هو الجاني، حسبما ذكرت شبكة CNBC.

في 9 يناير، تمكن طرف غير مصرح له من الوصول إلى حساب @SECGov وعرض منشورًا كاذبًا يدعي أن الوكالة وافقت على أول صندوق تداول فوري للبيتكوين على الإطلاق. تغيرت أسواق العملات المشفرة بعد المنشور غير المصرح به، حيث ارتفعت أسعار البيتكوين في البداية إلى ما يقرب من 48000 دولار. بعد ذلك، انخفض سعر البيتكوين إلى أقل من 46000 دولار بعد أن أوضحت هيئة الأوراق المالية والبورصات أنها لم توافق على صندوق بيتكوين المتداول في البورصة.

وقال متحدث باسم هيئة الأوراق المالية والبورصة في بيان: "بعد يومين من الحادث، وبالتشاور مع شركات الاتصالات التابعة لهيئة الأوراق المالية والبورصات، قررت هيئة الأوراق المالية والبورصة أنه خلال هجوم مبادلة بطاقة SIM واضح، سيطر طرف غير مصرح به على رقم الهاتف المحمول التابع لهيئة الأوراق المالية والبورصات المرتبط بالحساب".

يتم تبديل بطاقة SIM عندما يتم نقل رقم هاتف إلى جهاز آخر دون إذن المالك، مما يسمح للجهات الفاعلة السيئة بتلقي الرسائل النصية والمكالمات الصوتية المخصصة للضحية.

وبعد حصول الشخص المجهول على رقم الهاتف، قام بإعادة تعيين كلمة مرور الحساب. نظرًا لأن هيئة الأوراق المالية والبورصة لم تقم بتمكين المصادقة الثنائية، فإن تبديل بطاقة SIM وتغيير كلمة المرور اللاحقة هما الخطوتان الضروريتان الوحيدتان للوصول الكامل إلى حساب الوكالة.

وقالت لجنة الأوراق المالية والبورصة في بيان: "بينما تم تمكين المصادقة متعددة العوامل (MFA) في حسابSECGovX سابقًا، قامت X Support بتعطيل الميزة بناءً على طلب الموظفين في يوليو 2023 بسبب مشكلات في الوصول إلى الحساب". "بمجرد إعادة إنشاء الوصول، ظل MFA معطلاً حتى أعاد الموظفون تمكينه في 9 يناير بعد اختراق الحساب."

في الوقت الحالي، تم تمكين هذه الميزة على جميع حسابات وسائل التواصل الاجتماعي التابعة لهيئة الأوراق المالية والبورصة (SEC) التي توفر وظيفة MFA. تتمتع المؤسسة بالقدرة على إعادة تشغيل المصادقة الثنائية لحساب X الخاص بها ولا تعتمد على X للقيام بذلك.

وجه إيلون موسك، مالك X وكبير مسؤولي التكنولوجيا، انتقادًا إلى هيئة الأوراق المالية والبورصة الأمريكية (SEC) بعد تعرض حسابها على X للاختراق. كما أعاد ماسك أيضًا تغريد منشور من قسم الأمن في تويتر بعد الحادث، قائلًا إن التسرب "لم يكن بسبب تعرض النظام X للخطر".

لم يرد X على الفور على أسئلة CNBC حول ما إذا كانت المنصة تواصل التعاون مع المحققين أو ما إذا كانت الشركة تخطط لتغيير التصميم أو أي وظيفة تتعلق بحسابات الوكالات الحكومية ردًا على خرق حساب هيئة الأوراق المالية والبورصات.

وقالت هيئة الأوراق المالية والبورصات إنه لا يوجد دليل على أن طرفًا غير مصرح به قد تمكن من الوصول إلى أنظمة هيئة الأوراق المالية والبورصة أو بياناتها أو معداتها أو حسابات وسائل التواصل الاجتماعي الأخرى. وبدلاً من ذلك، قالت الوكالة: "تم الوصول إلى رقم الهاتف من خلال شركة اتصالات"، ولا تزال سلطات إنفاذ القانون تحقق في كيفية قيام الشخص "بجعل شركة الاتصالات تغير بطاقة SIM الخاصة بالحساب وكيف عرف الشخص رقم الهاتف المرتبط بالحساب".

وقالت هيئة الأوراق المالية والبورصات إنها تواصل التعاون مع العديد من هيئات إنفاذ القانون والرقابة الفيدرالية، بما في ذلك مكتب المفتش العام التابع لهيئة الأوراق المالية والبورصة، ومكتب التحقيقات الفيدرالي، ووكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الداخلي، ولجنة تداول العقود الآجلة للسلع، ووزارة العدل وقسم الإنفاذ التابع للجنة الأوراق المالية والبورصة.