侵入SEC的X賬户是網絡安全101課程中的又一課 - 彭博社

Jordan Robertson

2024-01-11

加里·根斯勒（Gary Gensler）是美國證券交易委員會（SEC）主席，於2023年12月13日星期三在美國華盛頓特區SEC總部舉行會議。

攝影師：塞繆爾·科倫（Samuel Corum）/彭博社對於侵入美國證券交易委員會（SEC）X賬户的黑客行為，這在週二攪動了加密貨幣市場，最令人驚訝的是它是如此容易實施。

一名未知的入侵者侵入了SEC的賬户，並在之前被稱為Twitter的網站上發佈了一份虛假聲明，聲稱該機構已批准了與現貨比特幣相關的基金計劃。這篇帖子引發了世界最大虛擬貨幣價格的變化。

儘管SEC尚未明確説明侵入是如何發生的，或者是誰背後操縱的，但X的聲明表明，這次妥協是因為SEC未能遵循基本的網絡安全措施。

埃隆·馬斯克的社交媒體平台表示，SEC未能使用雙因素認證，即2FA。這意味着黑客不需要通過除賬户憑據外的任何其他身份驗證手段來驗證自己，比如來自短信或身份驗證應用程序的代碼。

一些組織決定放棄雙因素認證，如果他們有多人管理社交媒體賬户。他們認為這很麻煩，會造成單一物理設備被要求登錄的瓶頸。

目前尚不清楚黑客們如何利用這一漏洞來訪問證券交易委員會的賬户。然而，X 週二表示，一名未知個體通過與該賬户關聯的電話號碼“通過第三方”獲得了控制權。

黑客如何利用這個號碼仍然是一個謎，儘管未能包括額外的身份驗證形式代表了一個可以避免的安全漏洞。一旦黑客掌握了證券交易委員會的賬户信息，他們只需登錄並開始發佈內容。

攻擊者經常侵入他人的在線賬户的一種常見方式是通過一種稱為SIM卡交換的技術，他們欺騙電話公司將電話號碼的控制權從目標手機轉移到黑客的控制下。然後，入侵者可以啓動賬户密碼的重置，使用手機號碼作為主要聯繫點，並攔截服務發送的任何文本消息驗證代碼，以驗證更改。

X去年使多因素身份驗證的流程變得更加困難，宣佈將開始收費以保護使用電話號碼的賬户。相反，非付費用户現在的主要2FA保護選項是使用認證器應用程序，該應用程序提供特殊訪問代碼來保護賬户。

SEC的入侵發生在該機構在網絡安全方面對上市公司變得更加嚴格的時候，要求它們在四天內披露重大黑客攻擊事件。

週二的入侵也讓人想起了2013年Twitter賬號遭到黑客攻擊的事件，該賬號屬於美聯社，造成了一次股市下跌，因為有一篇虛假的帖子聲稱白宮發生爆炸，導致時任總統巴拉克·奧巴馬受傷。

本月，黑客還接管了網絡安全公司Mandiant的X賬號。

2022年2月25日，攝於美國加利福尼亞州舊金山的Twitch總部。攝影師：David Paul Morris/Bloomberg據我的同事Cecilia D’Anastasio報道，兒童色情分子利用了流媒體網站Twitch上的一個功能來記錄和分享性虐待材料。

成年人利用Twitch的“剪輯”功能，記錄用户直播的短視頻，以收集兒童的性化圖像，有時顯然還鼓勵兒童暴露自己。彭博社對近1100個剪輯的分析確定，至少83個短視頻包含了性化內容。觀眾觀看了一些最嚴重的剪輯數千次。

當彭博社提醒Twitch存在問題時，該公司刪除了相關內容。Twitch首席執行官丹·克蘭西在一份聲明中表示：“無論在任何地方，青少年受到傷害都是非常令人不安的。即使是一次也太多了，我們非常重視這個問題。”

大家保持温暖。

您可以通過電子郵件聯繫Jeff Stone：[email protected]。Margi Murphy的郵箱是[email protected]。您也可以使用我們的SecureDrop安全、匿名地發送文件。