A Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês) revelou na última segunda-feira, 22, detalhes sobre a invasão na sua conta no X, antigo Twitter, que ocorreu no dia 9 de janeiro. A invasão envolveu uma publicação que alegava falsamente que os ETFs de bitcoin teriam sido aprovados pelo regulador naquele dia, o que mexeu com o mercado.

Em um comunicado com atualizações sobre a investigação do caso, a SEC informou que mantém sua cooperação com "entidades policiais e autoridades federais", incluindo o FBI, o Departamento de Justiça dos Estados Unidos, a Agência de Segurança Cibernética e outro regulador do mercado, a Comissão de Negociação de Futuros de Commodities (CFTC, na sigla em inglês).

Com as informações obtidas até o momento, a SEC explicou que "dois dias após o incidente, em consulta com a operadora de telecomunicações da SEC, a SEC determinou que a parte não autorizada obteve o controle do número de telefone celular da SEC associado à conta [no X] em um aparente ataque de SIM Swap".

"O SIM Swap é uma técnica usada para transferir o número de telefone de uma pessoa para outro dispositivo sem autorização, permitindo que a parte não autorizada comece a receber ligações e SMS associadas ao número. O acesso ao número de telefone ocorreu através da operadora de telecomunicações e não através de sistemas SEC", comentou o regulador.

O comunicado informa ainda que "a equipe da SEC não identificou nenhuma evidência de que a parte não autorizada obteve acesso aos sistemas, dados, dispositivos da SEC ou outras contas em redes sociais". O regulador conseguiu reassumir o controle da conta em poucos minutos, apagando a publicação sobre a falsa aprovação. No dia seguinte, a autarquia aprovou oficialmente os ETFs de bitcoin.

"Entre outras coisas, as autoridades estão atualmente investigando como a parte não autorizada conseguiu que a operadora alterasse o SIM da conta e como a parte sabia qual número de telefone estava associado à conta", destacou o comunicado.

A SEC também admitiu que tinha desativado um elemento de segurança importante para contas em redes sociais: a autenticação de dois fatores. Segundo o regulador, a autenticação estava habilidade na conta mas foi desativada pelo X a pedido da própria SEC em julho de 2023 "devido a problemas de acesso à conta". Após o ataque, a autenticação de dois fatores foi reativada.

A ausência do mecanismo de segurança contradiz as próprias recomendações da SEC sobre o tema. Em outubro de 2023, o regulador recomendou que os usuários tenham "senhas fortes, usem a autenticação de dois fatores e ativem alertas de segurança para a conta".

What can you do to protect your investment accounts from a cyber-attack or identity theft? #CybersecurityAwarenessMonth

A thread 🧵

— U.S. Securities and Exchange Commission (@SECGov) October 5, 2022

O JEITO FÁCIL E SEGURO DE INVESTIR EM CRYPTO. Na Mynt você negocia em poucos cliques e com a segurança de uma empresa BTG Pactual. Compre as maiores cryptos do mundo em minutos direto pelo app. Clique aqui para abrir sua conta gratuita.

Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok