La Securities and Exchange Commission des États-Unis a confirmé aujourd’hui que son compte X avait été piraté via une attaque par échange de carte SIM sur le numéro de téléphone portable associé au compte.

Plus tôt ce mois-ci, le compte X de la SEC a été piraté pour publier une fausse annonce selon laquelle l’agence avait finalement approuvé les ETF Bitcoin sur les échanges de titres.

Ironiquement, la SEC a approuvé les ETF Bitcoin dans une annonce légitime le lendemain.

Cependant, à l’époque, il n’était pas clair comment le compte avait été piraté, la SEC déclarant qu’elle fournirait des mises à jour sur son enquête dès qu’elle serait disponible.

Aujourd’hui, la SEC a confirmé qu’un compte de téléphone portable associé au compte X avait subi une attaque par échange de carte SIM.

« Deux jours après l’incident, en consultation avec l’opérateur télécom de la SEC, la SEC a déterminé que la partie non autorisée avait obtenu le contrôle du numéro de téléphone portable de la SEC associé au compte lors d’une apparente attaque » d’échange de carte SIM » », explique un communiqué de presse mis à jour de la SEC sur la violation.

Dans les attaques par échange de carte SIM, les auteurs de menaces incitent l’opérateur sans fil d’une victime à transférer le numéro de téléphone d’un client sur un appareil sous le contrôle de l’attaquant. Cela permet aux pirates de récupérer tous les SMS et appels téléphoniques envoyés à l’appareil, y compris les liens de réinitialisation de mot de passe et les codes d’accès uniques pour l’authentification multifacteur (MFA).

Selon la SEC, les pirates n’avaient pas accès aux systèmes internes, aux données, aux appareils ou à d’autres comptes de médias sociaux de l’agence, et l’échange de carte SIM s’est produit en incitant leur opérateur de téléphonie mobile à porter le numéro.

Une fois que les auteurs de la menace ont contrôlé le numéro, ils ont réinitialisé le mot de passe du compte @SECGov pour créer la fausse annonce.

La SEC affirme qu’elle continue de travailler avec les forces de l’ordre pour enquêter sur la manière dont les attaquants ont mené l’attaque d’échange de cartes SIM avec leur opérateur de téléphonie mobile.

La SEC a également confirmé que l’authentification multifacteur n’était pas activée sur le compte, car elle avait demandé au support X de la désactiver lorsqu’elle rencontrait des problèmes de connexion au compte.

Si MFA avait été activé par SMS, les pirates auraient tout de même pu pirater le compte car ils auraient reçu les codes d’accès uniques.

Cependant, si le paramètre de sécurité avait été configuré pour utiliser une application d’authentification, il aurait empêché les auteurs de la menace de se connecter au compte, même après que les attaquants aient changé le mot de passe.

Pour cette raison, il est toujours conseillé d’utiliser l’authentification multifacteur uniquement avec une clé de sécurité matérielle ou une application d’authentification plutôt que par SMS.

L’année dernière, X a été en proie à des comptes piratés et à des publicités malveillantes faisant la promotion d’escroqueries par crypto-monnaie et de draineurs de portefeuilles.

Malheureusement, il ne semble pas y avoir de fin en vue, les utilisateurs en ayant marre de ce qui ressemble à un flux constant de publicités malveillantes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *