SEC teve conta em rede social invadida, com publicação falsa sobre ETF de bitcoin (Divulgação/Divulgação)
Repórter do Future of Money
Publicado em 23 de janeiro de 2024 às 10h58.
A Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês) revelou na última segunda-feira, 22, detalhes sobre a invasão na sua conta no X, antigo Twitter, que ocorreu no dia 9 de janeiro. A invasão envolveu uma publicação que alegava falsamente que os ETFs de bitcoin teriam sido aprovados pelo regulador naquele dia, o que mexeu com o mercado.
Em um comunicado com atualizações sobre a investigação do caso, a SEC informou que mantém sua cooperação com "entidades policiais e autoridades federais", incluindo o FBI, o Departamento de Justiça dos Estados Unidos, a Agência de Segurança Cibernética e outro regulador do mercado, a Comissão de Negociação de Futuros de Commodities (CFTC, na sigla em inglês).
Com as informações obtidas até o momento, a SEC explicou que "dois dias após o incidente, em consulta com a operadora de telecomunicações da SEC, a SEC determinou que a parte não autorizada obteve o controle do número de telefone celular da SEC associado à conta [no X] em um aparente ataque de SIM Swap".
"O SIM Swap é uma técnica usada para transferir o número de telefone de uma pessoa para outro dispositivo sem autorização, permitindo que a parte não autorizada comece a receber ligações e SMS associadas ao número. O acesso ao número de telefone ocorreu através da operadora de telecomunicações e não através de sistemas SEC", comentou o regulador.
O comunicado informa ainda que "a equipe da SEC não identificou nenhuma evidência de que a parte não autorizada obteve acesso aos sistemas, dados, dispositivos da SEC ou outras contas em redes sociais". O regulador conseguiu reassumir o controle da conta em poucos minutos, apagando a publicação sobre a falsa aprovação. No dia seguinte, a autarquia aprovou oficialmente os ETFs de bitcoin.
"Entre outras coisas, as autoridades estão atualmente investigando como a parte não autorizada conseguiu que a operadora alterasse o SIM da conta e como a parte sabia qual número de telefone estava associado à conta", destacou o comunicado.
A SEC também admitiu que tinha desativado um elemento de segurança importante para contas em redes sociais: a autenticação de dois fatores. Segundo o regulador, a autenticação estava habilidade na conta mas foi desativada pelo X a pedido da própria SEC em julho de 2023 "devido a problemas de acesso à conta". Após o ataque, a autenticação de dois fatores foi reativada.
A ausência do mecanismo de segurança contradiz as próprias recomendações da SEC sobre o tema. Em outubro de 2023, o regulador recomendou que os usuários tenham "senhas fortes, usem a autenticação de dois fatores e ativem alertas de segurança para a conta".
What can you do to protect your investment accounts from a cyber-attack or identity theft? #CybersecurityAwarenessMonth
A thread 🧵
— U.S. Securities and Exchange Commission (@SECGov) October 5, 2022
O JEITO FÁCIL E SEGURO DE INVESTIR EM CRYPTO. Na Mynt você negocia em poucos cliques e com a segurança de uma empresa BTG Pactual. Compre as maiores cryptos do mundo em minutos direto pelo app. Clique aqui para abrir sua conta gratuita.
Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok