在比特币现货 ETF 获得批准的前夕,美国证券交易委员会(SEC)上演了一场乌龙,其 X 帐号遭骇客入侵并发布了「批准比特币现货 ETF」的虚假消息,引起了比特币价格的剧烈波动和加密货币社群的广泛讨论。
经过 X 安全团队的调查,确认了 SEC 帐号的确遭受了骇客攻击,并指出 SEC 并未启用双重认证(2FA),显然安全意识不够充分。这件事情引起了社群对 SEC 严格监管加密产业,而自身安全防护措施不足的批评。
监察长办公室正调查 SEC X 帐号遭骇事故
这起安全漏洞事件已引起美国政府相关部门的关注。根据 Fox 记者 Eleanor Terrett 在 X 上的贴文,目前这起事件正在由「监察长办公室(OIG)」进行调查。监察长办公室是负责对政府机构进行监督与审查的独立机构,其职责包括调查政府机构中的滥用、欺诈或违规行为,并提供改善政府运作透明度和效率的建议。
值得一提的是,Terrett 在其贴文中指出了 SEC 在网路安全方面的矛盾:
SEC 的 2022 年和 2023 年的监察报告都强调了确保内部系统合规的重要性,而去年 11 月,监察长还曾要求提供有关 SEC 实施或计划实施多因素认证的信息。此外,根据 SEC 的 2023 年预算报告,该机构计划聘请额外的专业人员来加强其安全控制和程序,并推动机构采用「零信任」的网路安全策略。
这样的规划背景下,SEC 今年却未启用双重认证(2FA),这无疑引发了外界对其网路安全管理能力的质疑。
SEC 周末声明承认遭骇
12 日,SEC 发表声明,回应了其 X 帐号遭骇客入侵的事件,同时也揭露了事件的细节和最新进展。然而,该声明并未提及有关该帐户未启用多因素认证的问题,仅表示 SEC 正在评估这次事件对机构、投资者和市场可能造成的影响。
根据声明,美东时间 2024 年 1 月 9 日星期二下午 4:00之后不久,未经授权者透过控制与该帐号相关的手机号码获取了对 SEC 官方 X 帐户的访问权限。接著,该未经授权者发布了两条推文,其中一条错误地宣称 SEC 批准了比特币现货 ETF,并对两条非官方帐号的贴文点赞。
在意识到事件后,SEC 的公共事务办公室人员在下午 4:26 通过主席 Gary Gensler 的官方 X 帐户发布了澄清贴文,并删除了所有未经授权的行为。声明指出,对 SEC 官方帐户的未经授权访问于下午 4:40 至 5:30 间被终止。
这起事件似乎涉及 SIM 卡劫持攻击(SIM swapping),如果 SEC 采用了基于非简讯的多因素认证,如 Google Authenticator 或硬体安全钥匙,则可能防止帐号遭骇。这件事情的发生尤其讽刺,因为 Gary Gensler 曾于去年 10 月发文提醒投资者使用 2FA 来保护自己的财务帐户,并推荐使用高安全性的密码。然而,SEC 却未能有效保护其自身的 X 帐号免于骇客的入侵,遭到社群挞伐讽刺。
