【X帳號被盜用】SEC遇SIM卡交換攻擊 外洩比特幣「假消息」
美國證券交易委員會(SEC)本月初宣布有關比特幣(Bitcoin)的消息,但在宣布前一日,其 X 帳戶卻被黑客入侵,並將消息「提前發布」。SEC 公布調查結果,發現黑客透過 SIM 卡交換攻擊(SIM swapping),盜用了該帳戶,更發現帳戶未有採用多因素身分驗證(MFA),令黑客有機可乘。
「假消息」致比特幣價格飆升
今年 1 月 10 日,SEC 宣布正式批准包括比特幣(Bitcoin)現貨 ETF 在內的交易所交易產品(ETP)的上市與交易,不過其 X 帳戶@SECGov,卻提前一日(1 月 9 日)發布了同一消息,令比特幣價格一下子升到 48,000 美元。消息發布 15 分鐘後,SEC 隨即指出該帳戶遭盜用,帖文並非由 SEC 起草、建立或發布,使得比特幣價格又回落到 45,000 美元。
原以為這是個假消息,但豈料 SEC 翌日在一份合法聲明中,竟然真的批准了比特幣現貨 ETF。
SEC 與 FBI 等機構對事件展開聯合調查,向電訊營運商查詢後,發現黑客是透過 SIM 卡交換攻擊掌控了 SEC 的 X 帳戶,而並非 SEC 系統。SIM 卡交換攻擊是指在未經授權下,將電話號碼轉移到另一裝置,黑客通常會先蒐集目標的個人資訊,待瞞騙電訊公司職員後,便將目標的手機號碼轉移到自己掌控的 SIM 卡上。
黑客未有掌控 SEC 系統
就今次事件,黑客控制 SEC 的 X 帳號電話號碼後,重置了該帳號的密碼,但暫時未知黑客如何得知 SEC 帳戶的關聯手機號碼,亦未知黑客如何讓電訊營運商變更該帳號的 SIM 卡。
SEC 指出,其 X 帳戶在去年 7 月時,因存取帳戶時出現問題而停用 MFA,但 SEC 員工在重新建立帳戶存取權後,未有重啟 MFA。本月 9 日發現 X 帳戶被盜用後,員工已立即於 X 及所有社交媒體上啟用 MFA。而除了 X 帳戶外,暫時未發現黑客有存取 SEC 系統、資料、裝置及社交媒體。
