کمیسیون اوراق و بهادار ایالات متحده (SEC) در گزارش رسمی خود در مورد هک اخیر تایید کرد احراز هویت چند مرحله ای(MFA) حساب کاربری پلتفرم ایکس این سازمان در زمان حمله فعال نبود.
یکی از هکرها هفته گذشته توانست با نفوذ به حساب کاربری کمیسیون اوراق و بهادار ایالات متحده(SEC) در پلتفرم ایکس این حساب را هک کند. روش این هکر در نوع خود بی نظیر بود. او قبل از نفوذ اقدام به خرید مقداری رمز ارز بیت کوین کرده بود. بعد از نفوذ یک توییتی در حساب SEC مبنی بر پذیرفتن صندوق ETF منتشر کرد. حالا تو خود حدیث مفصل بخوان از این مجمل!! درست حدس زدید، با انتشار این توییت ارزش جهانی بیت کوین ناگهان به ۴۸۰۰۰ دلار رسید و ۱۵ دقیقه بعد دوباره به رقم ۴۴۹۰۰ دلار بازگشت. هکر در این مدت توانست بیت کوین خود را با قیمت ۴۸۰۰۰ دلار به فروش برساند و سود هنگفتی به جیب بزند!!
حالا کمیسیون بورس و اوراق بهادار گزارش رسمی خود را از این حمله و نحوه به خطر افتادن حساب کاری پلتفرم ایکس منتشر کرد. طبق گزارش SEC این حمله به روش تعویض سیم کارت یا SIM swap انجام شد و حساب کاربری آنها در زمان حمله به احراز هویت چندعاملی (MFA) مجهز نبود. در این روش هکر با مراجعه حضوری به دفتر یکی از ارائه دهندگان خدمات مخابراتی اقدام به گزارش مفقودی سیم کارت کرد. هکر مدیر فروش شرکت مخابراتی را متقاعد می کند تا شماره تلفن خود را به این حساب منتقل کند. با این کار، پیامک احراز هویت شبکه اجتماعی به شماره جدید ارسال می شود. طبق تحقیقات SEC هکر توانست کنترل شماره تلفن همراه SEC مرتبط با حساب را به دست بیاورد و با دستگاه دیگری رمز عبور حساب @SECGiv را بازنشانی کند.
معمولا حساب های رسانه های اجتماعی دولتی باید از روش احراز هویت چند عاملی یا MFA استفاده کنند. سئوال اینجاست که چرا احراز هویت MFA در حساب کاربری SEC غیرفعال بود!! شایعه شده که یکی از کارمندان ارشد کمیسیون، احراز هویت را غیرفعال کرد. این کارمند به علت موقعیت خود در بازار رمز ارز توانست تاثیر زیادی روی قیمت ها داشته باشد. اما کمیسیون این شایعه را رد کرد و مدعی شد که به علت مشکلاتی که چندین ماه با آن دست به گریبان بود در ماه ژوئیه از پشتیبانی پلتفرم ایکس درخواست غیرفعالسازی MFA را کرده بود. بعد از این حمله، احراز هویت MFA در تمامی حساب های کاربری رسانه های اجتماعی SEC فعال شد.
ابهامات زیادی در این گزارش وجود داشت. به عنوان نمونه: مسئولین اپراتور چگونه می دانستند کدام تلفن با حساب کاربری X مرتبط است؟ چگونه شرکت مخابراتی که نامش هرگز فاش نشد، در معرض چنین کلاهبرداری قرار گرفت؟! چه کسی در این شرکت مخابراتی با هکر همکاری داشت؟! SEC گفت نتایج تحقیقات وزارت دادگستری، FBI، امنیت داخلی و بازرسی کل می تواند پاسخ همه این سئوالات را بدهد.