أكدت لجنة الأوراق المالية والبورصات (SEC) أن عملية تحويل SIM سمحت لمخترق بالسيطرة على حسابها على Twitter (@SECGov) في وقت سابق من هذا الشهر.
كشف بيان صادر عن اللجنة أن “طرفًا غير مصرح له” تمكن من الوصول إلى الحساب باستهداف مزود خدمة الاتصالات التابع للجنة أولًا. تمكن المخترق بطريقة ما من معرفة رقم الهاتف المرتبط بحساب @SECGov. ثم قام الخاطف بخداع مشغل الهاتف لنقل رقم الهاتف إلى جهازه الخاص. مما يسمح له بإكمال إعادة تعيين كلمة المرور للحساب على Twitter.
اختراق عبر مشغل الهاتف
وأكد البيان أن “الوصول إلى رقم الهاتف تم عبر مشغل الهاتف، وليس عبر أنظمة SEC. لم يحدد موظفو SEC أي دليل على أن الطرف غير المصرح له تمكن من الوصول إلى أنظمة SEC أو بياناتها أو أجهزتها أو حسابات أخرى على وسائل التواصل الاجتماعي”.
ومع ذلك، أكدت اللجنة المالية أن حساب @SECGov لم يكن مفعلًا عليه المصادقة الثنائية (2FA). وهي حماية أمنية موصى بها على نطاق واسع والتي يمكن أن تمنع اختراق الحسابات.
تمكين المصادقة الثنائية
وقالت اللجنة: “بينما تم تمكين المصادقة الثنائية في السابق على حساب @SECGov، فقد تم تعطيلها من قبل دعم Twitter، بناءً على طلب الموظفين، في يوليو 2023 بسبب مشكلات في الوصول إلى الحساب. بمجرد إعادة الوصول، ظلت المصادقة الثنائية معطلة حتى أعاد الموظفون تمكينها بعد اختراق الحساب في 9 يناير. تتوفر المصادقة الثنائية حاليًا لجميع حسابات SEC على وسائل التواصل الاجتماعي التي تقدمها”.
استخدام ملف @SECGov للتغريد بشكل خاطئ
أصدرت اللجنة هذا التحديث بعد أسابيع من إلقاء Twitter باللوم على عملية تحويل SIM في هذا الحادث المحرج. من خلال اختراق الحساب، تمكن المخترق من استخدام ملف @SECGov للتغريد بشكل خاطئ بأن اللجنة المالية وافقت على تداول صناديق الاستثمار المتداولة (ETF) للبيتكوين في البورصات الوطنية للأوراق المالية. أدى التغريد المزيف إلى اضطراب الأسواق لفترة وجيزة، حيث أرسل قيمة البيتكوين إلى الارتفاع قبل أن تهبط بعد تحذير اللجنة العامة من تعرض حسابها على Twitter للاختراق.
على الرغم من قيام اللجنة بالتحقيق في الحادث، إلا أنها لا تزال تحاول الكشف عن الشخص الذي يقف وراء عملية الاختراق. بالإضافة إلى تفاصيل أخرى مثل “كيف جعل الطرف غير المصرح له مشغل الهاتف يغير SIM للحساب. وكيف عرف الطرف أي رقم هاتف مرتبط بالحساب؟”.
انتقادات المشرعين
وتأتي عملية التحقيق في الوقت الذي ينتقد فيه بعض المشرعين اللجنة لإهمالها اتباع قواعدها الخاصة وإرشاداتها بشأن الأمن السيبراني. وقال مشرعون جمهوريون للجنة في رسالة في وقت سابق من هذا الشهر: “هذا الفشل غير مقبول. ومن المقلق أن وكالتك لا تستطيع حتى تلبية المعايير التي تتطلبها من القطاع الخاص”.
اقرأ أيضا:
BotX” روبوت مالي يشتبه في احتياله على المستثمرين!