De acordo com a Blockworks, a Comissão de Valores Mobiliários dos EUA (SEC) admitiu que a autenticação de dois fatores em sua conta X foi desativada desde julho de 2023. A conta X oficial da SEC foi comprometida no início deste mês, permitindo que uma pessoa não autorizada acesse o conta e fazer uma postagem falsa anunciando a aprovação de ETFs de bitcoin à vista. A postagem permaneceu na conta por aproximadamente 15 minutos antes que o presidente Gary Gensler anunciasse que a conta da SEC havia sido comprometida.
Em uma declaração de acompanhamento, a SEC revelou que o suporte X solicitou à agência reguladora que desabilitasse a autenticação multifator depois que a agência teve dificuldade para acessar a conta. A autenticação multifator permaneceu desativada até que a equipe a reativasse depois que a conta foi comprometida em 9 de janeiro. A SEC declarou que a autenticação multifator agora está habilitada para todas as contas de mídia social da SEC que a oferecem.
O hacker obteve acesso à conta por meio de uma troca de SIM, que envolve a transferência de um número de telefone para outro dispositivo sem autorização. A SEC esclareceu que o acesso ao número de telefone ocorreu através da operadora de telecomunicações, e não através dos sistemas SEC. A equipe da SEC não encontrou nenhuma evidência de que a parte não autorizada obteve acesso aos sistemas, dados, dispositivos da SEC ou outras contas de mídia social.
O órgão regulador está trabalhando com o Federal Bureau of Investigations, a Segurança Interna, o Departamento de Justiça dos EUA e sua própria Divisão de Execução para rastrear o invasor. A aplicação da lei está atualmente investigando como a parte não autorizada conseguiu que a operadora alterasse o SIM da conta e como a parte sabia qual número de telefone estava associado à conta.