La SEC a été victime de SIM Swapping : Comment un pirate a pris le contrôle du compte X de la SEC

La SEC déclare être victime d’une attaque par échange de carte SIM

La Securities and Exchange Commission (SEC) des États-Unis a fourni une mise à jour lundi concernant l’accès non autorisé à son compte @SECGov sur la plateforme de médias sociaux X. L’attaque a eu lieu le 9 janvier et le compte X de la SEC a été utilisé pour publier un message non autorisé prétendant que l’agence avait approuvé les fonds négociés en bourse (ETF) de Bitcoin au comptant. Notamment, l’agence n’avait pas approuvé les ETFs de Bitcoin au comptant à ce moment-là.

Le régulateur des valeurs mobilières a détaillé :

Deux jours après l’incident, en consultation avec le transporteur télécom de la SEC, la SEC a déterminé que la partie non autorisée avait pris le contrôle du numéro de téléphone cellulaire de la SEC associé au compte lors d’une apparente attaque par ‘échange de carte SIM’.

“Une fois en contrôle du numéro de téléphone, la partie non autorisée a réinitialisé le mot de passe pour le compte @SECGov”, a décrit la SEC. Le régulateur a souligné : “L’accès au numéro de téléphone s’est produit via le transporteur télécom, et non via les systèmes de la SEC. Le personnel de la SEC n’a identifié aucune preuve que la partie non autorisée ait eu accès aux systèmes, aux données, aux appareils ou à d’autres comptes de médias sociaux de la SEC.”

La SEC a en outre partagé : “Bien qu’une authentification à multiples facteurs (MFA) avait préalablement été activée sur le compte @SECGov X, elle a été désactivée par le Support de X, à la demande du personnel de la [SEC], en juillet 2023 en raison de problèmes d’accès au compte.” Le régulateur a ajouté :

Une fois l’accès rétabli, la MFA est restée désactivée jusqu’à ce que le personnel la réactive après que le compte a été compromis le 9 janvier. La MFA est actuellement activée pour tous les comptes de médias sociaux de la SEC qui l’offrent.

Le chien de garde des valeurs mobilières a souligné que le personnel de la SEC continue de coordonner avec plusieurs entités de loi et de surveillance fédérales, y compris le Federal Bureau of Investigation (FBI), le Department of Homeland Security (DHS), la Commodity Futures Trading Commission (CFTC), le Department of Justice (DOJ) et la propre Division of Enforcement de la SEC.

“Entre autres, la loi enquête actuellement sur la manière dont la partie non autorisée a convaincu le transporteur de changer la carte SIM pour le compte et comment la partie savait quel numéro de téléphone était associé au compte,” a détaillé la SEC.

Un nombre significatif d’attaques par échange de carte SIM ciblent les investisseurs en crypto-monnaies. Outre la SEC, d’autres victimes notables d’attaques par échange de carte SIM incluent le co-fondateur d’Ethereum Vitalik Buterin. Notre guide explique comment éviter une attaque par échange de carte SIM.

Que pensez-vous de la façon dont la SEC a été victime d’un échange de carte SIM ? Faites-nous savoir dans la section des commentaires ci-dessous.