美国证券交易委员会(SEC)在今年1月10日宣布,正式批准包括比特币(Bitcoin)现货ETF在内的交易所交易产品(ETP)的上市与交易,然而,此一消息提前在1月9日透过SEC的X官方帐号@SECGov曝光,SEC周一(1/22)公布此一意外事件的调查结果,指出骇客透过SIM卡交换攻击存取了@SECGov帐号,迳自发布相关资讯。
SEC的X帐号@SECGov在1月9日发布了批准比特币现货ETF的消息,15分钟后SEC即宣称该帐号遭到盗用,且该消息并非由SEC所起草、建立或发布,使得比特币的价格在短短的时间之内先上飙至48,000美元,再下滑至45,000美元。当时,市场亦不知其实SEC隔天便会正式宣布此事。
总之,此一意外让SEC、SEC监察长办公室及美国联邦调查局(FBI)联手展开调查,在咨询SEC的电信营运商之后,确定骇客是透过SIM卡交换攻击,取得了与@SECGov相关的电话号码控制权。SIM卡交换指的是在未经用户授权,便将电话号码转至另一台装置的技术,允许未经授权的一方开始接收与该号码相关的语音及简讯。
骇客在控制了@SECGov帐号的电话号码之后,重置了该帐号的密码。目前执法部门仍在调查骇客如何让电信营运商变更该帐号的SIM卡,也正企图厘清骇客如何知道@SECGov帐号所连结的电话号码。
然而,此一意外之所以会发生的另一个主要原因在于,攻击当下@SECGov帐号并未启用多因素身分验证。
SEC说明,最初@SECGov帐号是启用多因素身分验证(MFA)机制的,但在2023年7月时,因要存取该帐号时发生问题,X技术支援部在SEC员工的要求下关闭了该帐号,SEC员工却在重新建立帐号存取权之后,没有重新启用MFA,一直到日前遭到SIM卡交换攻击。现在SEC已在所使用的所有社交媒体帐号上都启用了MFA。
SEC也强调,该攻击是透过电信营运商执行,而非SEC系统,且除了X上的@SECGov帐号之外,目前并未发现骇客存取SEC系统、资料、装置或其它社交媒体帐号的证据。