摘要:根据SEC的说法,「未授权方」当时是透过SIM卡交换攻击,也就是将电话号码转移到新设备,借此夺取了该帐号的控制权,然后重新设定了帐号密码。SEC发言人表示,由于在登入X帐号时遇到困难,SEC工作人员于2023年7月向X支援部门要求停用「多重要素验证(MFA)」,直到帐号被盗后才重新启用这项功能。...
美国证券交易委员会(SEC)的X 帐号本月稍早遭到入侵,有说法称该帐号在事发当下「并未启用双重验证(2FA)」,而SEC 官方近日也终于证实了这项消息,并补充说目前已重新启用2FA 。
美国 SEC 周一发表了声明,针对其 X 帐号如何被盗然后被又用于散播比特币现货 ETF 获准的假消息一事,提供更多细节资讯。
根据 SEC 的说法,「未授权方」当时是透过 SIM 卡交换攻击,也就是将电话号码转移到新设备,借此夺取了该帐号的控制权,然后重新设定了帐号密码。
SEC 强调,转移电话号码的过程是经由电信业者进行的,并未涉及到SEC 自身的系统,工作人员也没有发现SEC 的系统、资料、装置或其他社群媒体帐号被「未经授权方」存取的情况。
SEC 去年7 月实施了新规定,要求上市公司必须拥有高水准的「网路安全风险管理」机制,但如今却未能保护其X 帐号免于攻击,令美国参议员直言「不可接受」,并要求SEC 向国会进行解释。
SEC 发言人表示,由于在登入X 帐号时遇到困难,SEC 工作人员于2023 年7 月向X 支援部门要求停用「多重要素验证(MFA)」,直到帐号被盗后才重新启用这项功能。
SEC 补充说,目前在所有提供 MFA 登入安全机制的社群媒体帐号均已启用这项功能。
〈X 帐号因「SIM 卡交换攻击」被盗,美国 SEC 认了:事发当下「未启用 2FA」〉这篇文章最早发布于《区块客》。
