在比特幣現貨 ETF 獲得批准的前夕,美國證券交易委員會(SEC)上演了一場烏龍,其 X 帳號遭駭客入侵並發布了「批准比特幣現貨 ETF」的虛假消息,引起了比特幣價格的劇烈波動和加密貨幣社群的廣泛討論。
經過 X 安全團隊的調查,確認了 SEC 帳號的確遭受了駭客攻擊,並指出 SEC 並未啟用雙重認證(2FA),顯然安全意識不夠充分。這件事情引起了社群對 SEC 嚴格監管加密產業,而自身安全防護措施不足的批評。
監察長辦公室正調查 SEC X 帳號遭駭事故
這起安全漏洞事件已引起美國政府相關部門的關注。根據 Fox 記者 Eleanor Terrett 在 X 上的貼文,目前這起事件正在由「監察長辦公室(OIG)」進行調查。監察長辦公室是負責對政府機構進行監督與審查的獨立機構,其職責包括調查政府機構中的濫用、欺詐或違規行為,並提供改善政府運作透明度和效率的建議。
值得一提的是,Terrett 在其貼文中指出了 SEC 在網路安全方面的矛盾:
SEC 的 2022 年和 2023 年的監察報告都強調了確保內部系統合規的重要性,而去年 11 月,監察長還曾要求提供有關 SEC 實施或計劃實施多因素認證的信息。此外,根據 SEC 的 2023 年預算報告,該機構計劃聘請額外的專業人員來加強其安全控制和程序,並推動機構採用「零信任」的網路安全策略。
這樣的規劃背景下,SEC 今年卻未啟用雙重認證(2FA),這無疑引發了外界對其網路安全管理能力的質疑。
SEC 週末聲明承認遭駭
12 日,SEC 發表聲明,回應了其 X 帳號遭駭客入侵的事件,同時也揭露了事件的細節和最新進展。然而,該聲明並未提及有關該帳戶未啟用多因素認證的問題,僅表示 SEC 正在評估這次事件對機構、投資者和市場可能造成的影響。
根據聲明,美東時間 2024 年 1 月 9 日星期二下午 4:00之後不久,未經授權者透過控制與該帳號相關的手機號碼獲取了對 SEC 官方 X 帳戶的訪問權限。接著,該未經授權者發佈了兩條推文,其中一條錯誤地宣稱 SEC 批准了比特幣現貨 ETF,並對兩條非官方帳號的貼文點讚。
在意識到事件後,SEC 的公共事務辦公室人員在下午 4:26 通過主席 Gary Gensler 的官方 X 帳戶發布了澄清貼文,並刪除了所有未經授權的行為。聲明指出,對 SEC 官方帳戶的未經授權訪問於下午 4:40 至 5:30 間被終止。
這起事件似乎涉及 SIM 卡劫持攻擊(SIM swapping),如果 SEC 採用了基於非簡訊的多因素認證,如 Google Authenticator 或硬體安全鑰匙,則可能防止帳號遭駭。這件事情的發生尤其諷刺,因為 Gary Gensler 曾於去年 10 月發文提醒投資者使用 2FA 來保護自己的財務帳戶,並推薦使用高安全性的密碼。然而,SEC 卻未能有效保護其自身的 X 帳號免於駭客的入侵,遭到社群撻伐諷刺。