侵入SEC的X账户是网络安全101课程中的又一课 - 彭博社

Jordan Robertson

2024-01-11

加里·根斯勒（Gary Gensler）是美国证券交易委员会（SEC）主席，于2023年12月13日星期三在美国华盛顿特区SEC总部举行会议。

摄影师：塞缪尔·科伦（Samuel Corum）/彭博社对于侵入美国证券交易委员会（SEC）X账户的黑客行为，这在周二搅动了加密货币市场，最令人惊讶的是它是如此容易实施。

一名未知的入侵者侵入了SEC的账户，并在之前被称为Twitter的网站上发布了一份虚假声明，声称该机构已批准了与现货比特币相关的基金计划。这篇帖子引发了世界最大虚拟货币价格的变化。

尽管SEC尚未明确说明侵入是如何发生的，或者是谁背后操纵的，但X的声明表明，这次妥协是因为SEC未能遵循基本的网络安全措施。

埃隆·马斯克的社交媒体平台表示，SEC未能使用双因素认证，即2FA。这意味着黑客不需要通过除账户凭据外的任何其他身份验证手段来验证自己，比如来自短信或身份验证应用程序的代码。

一些组织决定放弃双因素认证，如果他们有多人管理社交媒体账户。他们认为这很麻烦，会造成单一物理设备被要求登录的瓶颈。

目前尚不清楚黑客们如何利用这一漏洞来访问证券交易委员会的账户。然而，X 周二表示，一名未知个体通过与该账户关联的电话号码“通过第三方”获得了控制权。

黑客如何利用这个号码仍然是一个谜，尽管未能包括额外的身份验证形式代表了一个可以避免的安全漏洞。一旦黑客掌握了证券交易委员会的账户信息，他们只需登录并开始发布内容。

攻击者经常侵入他人的在线账户的一种常见方式是通过一种称为SIM卡交换的技术，他们欺骗电话公司将电话号码的控制权从目标手机转移到黑客的控制下。然后，入侵者可以启动账户密码的重置，使用手机号码作为主要联系点，并拦截服务发送的任何文本消息验证代码，以验证更改。

X去年使多因素身份验证的流程变得更加困难，宣布将开始收费以保护使用电话号码的账户。相反，非付费用户现在的主要2FA保护选项是使用认证器应用程序，该应用程序提供特殊访问代码来保护账户。

SEC的入侵发生在该机构在网络安全方面对上市公司变得更加严格的时候，要求它们在四天内披露重大黑客攻击事件。

周二的入侵也让人想起了2013年Twitter账号遭到黑客攻击的事件，该账号属于美联社，造成了一次股市下跌，因为有一篇虚假的帖子声称白宫发生爆炸，导致时任总统巴拉克·奥巴马受伤。

本月，黑客还接管了网络安全公司Mandiant的X账号。

2022年2月25日，摄于美国加利福尼亚州旧金山的Twitch总部。摄影师：David Paul Morris/Bloomberg据我的同事Cecilia D’Anastasio报道，儿童色情分子利用了流媒体网站Twitch上的一个功能来记录和分享性虐待材料。

成年人利用Twitch的“剪辑”功能，记录用户直播的短视频，以收集儿童的性化图像，有时显然还鼓励儿童暴露自己。彭博社对近1100个剪辑的分析确定，至少83个短视频包含了性化内容。观众观看了一些最严重的剪辑数千次。

当彭博社提醒Twitch存在问题时，该公司删除了相关内容。Twitch首席执行官丹·克兰西在一份声明中表示：“无论在任何地方，青少年受到伤害都是非常令人不安的。即使是一次也太多了，我们非常重视这个问题。”

大家保持温暖。

您可以通过电子邮件联系Jeff Stone：[email protected]。Margi Murphy的邮箱是[email protected]。您也可以使用我们的SecureDrop安全、匿名地发送文件。