La Securities and Exchange Commission a fourni plus de détails sur la manière dont son compte X officiel a été compromis au début du mois. En , le régulateur a confirmé qu’il avait été victime d’une attaque par échange de carte SIM et que son compte X n’était pas sécurisé par une authentification multifacteur (MFA) au moment de son accès.
« La SEC a déterminé que la partie non autorisée a obtenu le contrôle du numéro de téléphone portable SEC associé au compte dans le cadre d’une apparente attaque de type ‘SIM swap' », a-t-il déclaré, faisant référence à une arnaque courante dans laquelle les attaquants persuadent les représentants du service client de transférer des numéros de téléphone vers « Une fois en contrôle du numéro de téléphone, la partie non autorisée a réinitialisé le mot de passe du compte @SECGov. »
Le piratage de son compte X, visant à prétendre faussement que les ETF Bitcoin avaient été approuvés, a soulevé des questions sur les pratiques de sécurité de la SEC. Les comptes de réseaux sociaux gérés par le gouvernement doivent généralement être dotés de la MFA. Le fait qu’un fournisseur aussi prestigieux et doté de capacités potentielles d’évolution du marché comme @SECGiv n’utiliserait pas la couche de sécurité supplémentaire a déjà suscité des questions de la part de .
Dans sa déclaration, la SEC a déclaré qu’elle avait demandé au personnel d’assistance de X de désactiver MFA en juillet dernier à la suite de « problèmes » d’accès à son compte. « Une fois l’accès rétabli, MFA est resté désactivé jusqu’à ce que le personnel le réactive après que le compte ait été compromis le 9 janvier », indique le communiqué. « La MFA est actuellement activée pour tous les comptes de réseaux sociaux SEC qui la proposent. »
Bien que l’absence de MFA ait probablement rendu beaucoup plus facile la reprise du compte de la SEC, de nombreuses questions subsistent sur l’exploit, notamment comment les responsables savaient quel téléphone était associé au compte X, comment l’opérateur de télécommunications anonyme est tombé dans l’arnaque et , bien sûr, qui était derrière tout cela. Le régulateur a déclaré qu’il enquêtait sur ces questions, aux côtés du ministère de la Justice, du FBI, de la Sécurité intérieure et de son propre inspecteur général.