Trước khi Bitcoin Spot ETF được phê duyệt, Ủy ban Chứng Bitcoin và Spot Hoa Kỳ (SEC) đã đặt ra mục tiêu phản đối sự biến động dữ dội và cuộc thảo luận rộng rãi Bitcoin trong cộng đồng crypto .
Sau cuộc điều tra của đội ngũ bảo mật X, người ta xác nhận rằng tài khoản SEC thực sự đã bị hack và chỉ ra rằng SEC chưa kích hoạt xác thực hai yếu tố (2FA), điều này rõ ràng cho thấy nhận thức về bảo mật chưa đầy đủ. Vụ việc này đã làm dấy lên sự chỉ trích từ cộng đồng rằng SEC quản lý chặt chẽ ngành công nghiệp crypto và các biện pháp bảo vệ an ninh của chính họ là không đủ.
Văn phòng Tổng Thanh tra đang điều tra vụ hack tài khoản SEC X
Lỗ hổng bảo mật này đã thu hút sự chú ý của các cơ quan liên quan của chính phủ Hoa Kỳ. Theo bài đăng trên X của phóng viên Eleanor Terrett của Fox, vụ việc hiện đang được Văn phòng Tổng Thanh tra (OIG) điều tra. Văn phòng Tổng Thanh tra là cơ quan độc lập chịu trách nhiệm giám sát và xem xét các cơ quan chính phủ, có trách nhiệm điều tra các hành vi lạm dụng, gian lận hoặc sai phạm trong các cơ quan chính phủ và đưa ra các khuyến nghị nhằm cải thiện tính minh bạch và hiệu quả hoạt động của chính phủ.
Điều đáng nói là Terrett đã chỉ ra những mâu thuẫn của SEC về an ninh mạng trong bài đăng của mình:
Báo cáo giám sát năm 2022 và 2023 của SEC đều nhấn mạnh tầm quan trọng của việc đảm bảo các hệ thống nội bộ tuân thủ và vào tháng 11 năm ngoái, tổng thanh tra đã yêu cầu thông tin về việc triển khai hoặc kế hoạch triển khai xác thực đa yếu tố của SEC. Ngoài ra, theo báo cáo ngân sách năm 2023 của SEC, cơ quan này có kế hoạch thuê thêm các chuyên gia để tăng cường các quy trình và kiểm soát bảo mật, đồng thời thúc đẩy các tổ chức áp dụng chiến lược an ninh mạng "không tín nhiệm".
Trong bối cảnh lập kế hoạch này, SEC đã không kích hoạt xác thực hai yếu tố (2FA) trong năm nay, điều này chắc chắn đã đặt ra câu hỏi về khả năng quản lý an ninh mạng của họ.
Tuyên bố của SEC cuối tuần qua thừa nhận đã hack
Vào ngày 12, SEC đã đưa ra tuyên bố phản hồi về vụ việc tài khoản X của họ bị hack, đồng thời tiết lộ chi tiết và tiến triển mới nhất của vụ việc. Tuy nhiên, tuyên bố không đề cập đến vấn đề xác thực đa yếu tố không được kích hoạt trên tài khoản mà chỉ nói rằng SEC đang đánh giá tác động có thể xảy ra của sự cố này đối với các tổ chức, nhà đầu tư và thị trường.
Theo tuyên bố, ngay sau 4 giờ chiều theo giờ ET vào Thứ Ba, ngày 9 tháng 1 năm 2024, một người không được ủy quyền đã có được quyền truy cập vào tài khoản X chính thức của SEC bằng cách kiểm soát số điện thoại di động được liên kết với tài khoản. Sau đó, người không được phép đã đăng hai dòng tweet, một trong đó tuyên bố sai sự thật rằng SEC đã phê duyệt quỹ ETF Bitcoin spot và thích hai bài đăng từ các tài khoản chính thức.
Sau khi biết về vụ việc, nhân viên Văn phòng Quan hệ Công chúng của SEC đã đưa ra một bài đăng làm rõ thông qua tài khoản X chính thức của Chủ tịch Gary Gensler lúc 4:26 chiều và xóa mọi hành động trái phép. Tuyên bố lưu ý rằng việc truy cập trái phép vào tài khoản chính thức của SEC đã bị chấm dứt trong khoảng thời gian từ 4:40 đến 5:30 chiều.
Sự cố này dường như liên quan đến một cuộc tấn công chiếm quyền điều khiển thẻ SIM (hoán đổi SIM). Nếu SEC sử dụng xác thực đa yếu tố không dựa trên SMS, chẳng hạn như Google Authenticator hoặc khóa bảo mật phần cứng, điều này có thể ngăn chặn việc hack tài khoản. Vụ việc này đặc biệt mỉa mai vì Gary Gensler đã đưa ra một bài báo vào tháng 10 năm ngoái nhắc nhở các nhà đầu tư sử dụng 2FA để bảo vệ tài khoản tài chính của họ và khuyến nghị sử dụng mật khẩu có độ bảo mật cao. Tuy nhiên, SEC đã không bảo vệ hiệu quả tài khoản X của chính mình khỏi tin tặc và bị cộng đồng chỉ trích và chế giễu.
