Spot Bitcoin ETF haberiyle ilgili sahte onay gönderisi paylaşan SEC’ye ait X hesabının siber saldırganlar tarafından nasıl ele geçirildiği anlaşıldı.
Dün geç saatte X (eski adıyla Twitter) üzerinde yer alan @SECGov isimli resmi bir hesap, spot Bitcoin borsa yatırım fonu (ETF) başvurularının onaylandığını paylaştı.
Kısa süre sonra ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) Başkanı Gary Gensler, henüz bir onay gelmediğini ve söz konusu hesabın siber saldırganlar tarafından ele geçirildiğini belirtti. Yaşananların ardından Bitcoin fiyatında manipülatif fiyat hareketleri görüldü.
Piyasada çalkantı yaratan bu olayın ardından X ekibi teknik inceleme başlattı ve hesabın nasıl ele geçirildiğini ortaya koydu. Yapılan açıklamaya göre SEC’ye ait hesaba erişimi olan bir telefon numarası üzerinden erişim sağlandığı ve bu telefonun iki faktörlü kimlik doğrulamasının (2FA) etkin olmadığı belirtildi:
Araştırmamıza göre güvenlik ihlalinin X’in sistemlerinin herhangi bir ihlalinden kaynaklanmadığı, bunun yerine kimliği belirsiz bir kişinin üçüncü bir taraf aracılığıyla @SECGov hesabıyla ilişkili bir telefon numarasının kontrolünü ele geçirmesinden kaynaklandığı ortaya çıktı. Ayrıca, hesabın ele geçirildiği sırada hesapta iki faktörlü kimlik doğrulamanın etkin olmadığı anlaşıldı.