ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), spot Bitcoin ETF’siyle ilgili sahte bir açıklamadan yapılmadan önce çok faktörlü kimlik doğrulama özelliğinin açık olmadığını söyledi.
SEC, “X’teki @SECGov hesabında çok faktörlü kimlik doğrulama (MFA) önceden açık olsa da hesaba erişimde sorunlar yaşandığı için personellerin talebi doğrultusunda Temmuz 2023’te X Destek ekibi tarafından kapatılmıştır. Tekrar erişim sağlandıktan sonra MFA, personeller hesaba 9 Ocak’ta sızıldıktan sonra onu geri açıncaya dek kapalı kalmıştır.” açıklamasını yaptı.
SEC’nin X hesabına hesapta kullanılan bir telefon numarasının ele geçirilmesinin ardından sızılmıştı. X güvenlik ekibi, olayın gerçekleştiği tarihte SEC hesabında çok faktörlü kimlik doğrulamasının kullanılmadığını açıkladı.
Kurum tarafından yapılan açıklamaya göre söz konusu telefon numarasına bir SIM değiştirme saldırısı sayesinde ulaşıldı. SIM değiştirme saldırılarında bir telefon numarası, hacker’ın kullandığı SIM kartına aktarılıyor.
SEC, “Telefon numarasına SEC’nin sistemleri aracılığıyla değil telefon operatörü aracılığıyla erişilmiştir. SEC personeli, izinsiz şekilde erişim sağlayan tarafın SEC’nin sistemlerine, verilerine, cihazlarına ya da diğer sosyal medya hesaplarına erişim sağladığına dair herhangi bir kanıt bulmamıştır.” dedi.
Hesaptaki SIM’in operatör tarafından nasıl değiştirildiği ve hesapta kullanılan telefon numarasına nasıl ulaşıldığı ile ilgili soruşturma devam ediyor.