O principal órgão regulador de Wall Street foi vítima de “SIM swapping”, uma técnica usada por fraudadores para assumir o controle de linhas telefônicas, quando sua conta na rede social X foi invadida no início deste mês, disse a Comissão de Valores Mobiliários dos EUA (SEC) na segunda-feira.
A SEC também disse que, seis meses antes do ataque, a equipe havia removido uma camada adicional de proteção, conhecida como autenticação multifator (MFA), e só a restaurou após a invasão de 9 de janeiro.
Com o aumento da expectativa de investidores pela aprovação de produtos negociados em bolsa que rastreiam o valor do bitcoin, uma pessoa ou pessoas não identificadas obtiveram acesso à conta da SEC na X e publicaram um falso anúncio de aprovação do órgão. A publicação causou um salto momentâneo no preço da criptomoeda.
No dia seguinte ao ataque, em uma votação dividida, a SEC deu aprovação para os ETFs de bitcoin.
A troca de SIM é uma técnica em que os invasores obtêm o controle de um número de telefone ao reatribuí-lo a um novo dispositivo.
“Uma vez no controle do número de telefone, o invasor redefiniu a senha da conta @SECGov” na X, disse um porta-voz da SEC em comunicado.
Autoridades norte-americanas estão trabalhando para saber como os hackers convenceram a operadora de celular usada pela SEC a fazer a troca do SIM, disse a agência, sem identificar a operadora.
Parlamentares dos EUA exigiram explicações sobre como a SEC pode ter se deixado exposta a esse tipo de ataque, quando ela exige que as empresas de capital aberto cumpram requisitos rigorosos de segurança eletrônica.
A declaração da SEC na segunda-feira também afirma que, devido a dificuldades de acesso à conta na X, a equipe do órgão pediu ao suporte da rede social em junho de 2023 para desativar o MFA, que poderia oferecer proteção adicional contra acesso não autorizado.
“Atualmente, o MFA está habilitado para todas as contas de mídia social da SEC”, afirmou a agência.