X(前身为 Twitter)的安全团队透露,美国证券交易委员会 (SEC) 未在其主 X 帐户上启用双因素身份验证 (2FA),从而使黑客能够访问该帐户。
SEC 的尴尬披露是在今天发生的一次安全漏洞引发的,该安全漏洞震动了加密货币市场,该漏洞导致 SEC 在社交媒体平台上的官方账户错误批准现货比特币 BTCtickers,导致交易所交易基金 (ETF)
下跌
45,259 美元
。
在 1 月 10 日的一篇帖子中,X 的安全页面写道,SEC 黑客事件的发生是因为一名身份不明的参与者控制了与该帐户相关的电话号码,并利用该号码访问了 SEC 的官方 X 页面。
这通常被称为 SIM 交换黑客
根据我们的调查,此次泄露并非由于 X 系统遭到破坏,而是由于身份不明的个人通过第三方获得了对与 @SECGov 帐户关联的电话号码的控制权”,X 安全团队写道。
“我们还可以确认该帐户在被盗时没有启用双因素身份验证。”
SIM 交换黑客是身份盗窃的一种形式,攻击者接管受害者的电话号码,使他们能够访问社交媒体、银行和加密帐户。
在这种情况下,黑客很可能说服第三方电信提供商交出与 SEC 帐户关联的电话号码的控制权。
如果黑客还知道用于登录帐户的正确电子邮件地址,他们就可以使用该电话号码重置 SEC 的官方帐户密码并获得访问权限。