Laut US-Behörde wurde das "X"-Konto der SEC mit "SIM-Swapping" gehackt

Die oberste Aufsichtsbehörde der Wall Street wurde Opfer von "SIM-Swapping", einer Technik, die Internetbetrüger verwenden, um die Kontrolle über Telefonleitungen zu übernehmen, als ihr Konto auf der Social-Media-Plattform X, früher bekannt als Twitter, Anfang des Monats gehackt wurde, so die U.S. Securities and Exchange Commission am Montag.

Die SEC sagte auch, dass die Mitarbeiter sechs Monate vor dem Angriff eine zusätzliche Schutzebene, die so genannte Multi-Faktor-Authentifizierung, entfernt und erst nach dem Angriff am 9. Januar wiederhergestellt hatten.

Als sich die Vorfreude auf die Genehmigung der Agentur für börsengehandelte Produkte, die Bitcoin nachverfolgen, steigerte, verschafften sich eine oder mehrere nicht identifizierte Personen Zugang zu dem Konto und veröffentlichten die falsche Meldung, dass die Genehmigung bereits erteilt worden sei, was zu einem kurzzeitigen Kurssprung der Kryptowährung führte.

In einer getrennten Abstimmung erteilte die Kommission die Genehmigung am nächsten Tag.

SIM-Swapping ist eine Technik, bei der Angreifer die Kontrolle über eine Telefonnummer erlangen, indem sie diese einem neuen Gerät zuweisen lassen.

"Sobald der Unbefugte die Kontrolle über die Telefonnummer erlangt hat, setzt er das Passwort für das @SECGov-Konto zurück", sagte ein Sprecher der SEC in einer Erklärung.

Die Strafverfolgungsbehörden arbeiten daran, herauszufinden, wie die Hacker den Mobilfunkanbieter der SEC dazu gebracht haben, den Wechsel vorzunehmen, sagte die SEC, ohne den Anbieter zu nennen.

Der Gesetzgeber hat Erklärungen gefordert, wie die SEC sich selbst einem solchen Angriff aussetzen konnte, wo sie doch börsennotierte Unternehmen zu strengen Cybersicherheitsanforderungen verpflichtet.

In der Erklärung vom Montag heißt es außerdem, dass die SEC-Mitarbeiter aufgrund von Schwierigkeiten beim Zugriff auf das Konto den X-Support im Juni 2023 gebeten hatten, die Multi-Faktor-Authentifizierung zu deaktivieren, die einen zusätzlichen Schutz gegen unbefugten Zugriff bieten kann.

"MFA ist derzeit für alle SEC-Konten in den sozialen Medien aktiviert, die dies anbieten", hieß es in der Erklärung.

Ein Vertreter von X reagierte nicht sofort auf eine Bitte um Stellungnahme.

Der Vorfall wird von verschiedenen Behörden untersucht, darunter das Office of Inspector General der SEC und ihre Abteilung für Durchsetzung, die Commodity Futures Trading Commission, die Bitcoin-Futures reguliert, das Federal Bureau of Investigation, das Department of Justice und die Cybersecurity and Infrastructure Security Agency, so die Erklärung.