Размер шрифта:
Уменьшить - Увеличить +
Фон страницы:
Обычный Белый Черный Голубой
Межбуквенный интервал:
Обычный Средний Большой
Изображения:
Включить Выключить
Отключить версию для слабовидящих close
Проект Координационного центра доменов .RU и .РФ
ru
en
Назад
Комиссия по ценным бумагам и биржам США раскрыла подробности взлома своего аккаунта в X (Twitter)
#взлом ПО
Комиссия по ценным бумагам и биржам США раскрыла подробности взлома своего аккаунта в X (Twitter)

Комиссия по ценным бумагам и биржам США (Securities and Exchange Commission - SEC) сообщила некоторые подробности взлома своего аккаунта в социальной сети X (в прошлом Twitter). Инцидент произошел в начале января, и неизвестные хакеры, получив на недолгое время контроль над учетной записью, опубликовали в ней сообщение о том, что SEС якобы одобрила регистрацию биржевых фондов (ETF) напрямую инвестирующих в криптовалюту Bitcoin. По иронии судьбы, буквально на следующий день Комиссия и в самом деле приняла соответствующее решение и опубликовала его в своем аккаунте - уже возвращенном к этому времени законным владельцам.

Таким образом, можно считать, что хакеры всего лишь немного опередили события. Но на самом деле факт взлома выглядит весьма серьезным инцидентом: решения SEC оказывают огромное влияние на фондовые рынки, и фальшивые сообщения в ее аккаунте теоретически могут спровоцировать самые нежелательные последствия. Как сказано в официальном уведомлении Комиссии, на аккаунт была осуществлена атака с подменой sim-карты. В общем виде механизм таких атак состоит в том, что злоумышленникам удается убедить сотрудников мобильного оператора перенести номер жертвы на другое устройство. Как это было достигнуто в данном случае, пока неизвестно, но факт остается фактом: неизвестный хакер получил доступ к кодам подтверждения и паролям, направляемым на устройство сотрудника SEC, ответственного за публикации в X - и перевел аккаунт на себя.

Важно также отметить, что двухфакторная аутентификация входа в учетную запись была отключена. Ранее она работала, но некоторое время назад Комиссия сама попросила администрацию X отключить эту опцию, поскольку она «создавала проблемы со входом в учетную запись». Решение стоит признать достаточно опрометчивым - если бы двухфакторная аутентификация была настроена на использование аутентификационного приложения, злоумышленник не смог бы получить доступ к учетной записи даже после успешной атаки с подменой sim-карты. С другой стороны, если бы дополнительная аутентификация строилась на вводе полученного в SMS-кода, она никак не защитила бы от такой атаки.