คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐ (SEC) แถลงเมื่อวานนี้ (22 ม.ค.) ว่า บัญชีเอ็กซ์ (ทวิตเตอร์) ของ SEC ที่ถูกแฮกเมื่อวันที่ 9 ม.ค.นั้น ถูกแฮกด้วย "การสวมซิม" (SIM swapping) ซึ่งเป็นเทคนิคที่อาชญากรไซเบอร์ใช้ในการควบคุมหมายเลขโทรศัพท์
SEC ยังระบุว่า ก่อนเกิดเหตุ 6 เดือน ทางเจ้าหน้าที่ของ SEC ได้ปิดระบบการยืนยันตัวตนแบบหลายปัจจัย (MFA) และไม่ได้เปิดใช้ใหม่อีกจนกระทั่งหลังจากโดนแฮกเมื่อวันที่ 9 ม.ค.
สำนักข่าวรอยเตอร์รายงานว่า เมื่อวันที่ 9 ม.ค. มีผู้ไม่ประสงค์ดีเข้าถึงบัญชีเอ็กซ์ของ SEC แล้วโพสต์ข้อความอันเป็นเท็จว่า SEC มีมติอนุมัติการจัดตั้งกองทุน Spot Bitcoin ETF แล้ว ส่งผลให้ราคาบิตคอยน์พุ่งทะยานขึ้นชั่วขณะ
ในวันต่อมา SEC มีมติอนุมัติการจัดตั้งกองทุน Spot Bitcoin ETF ด้วยคะแนนเสียงแบบไม่เป็นเอกฉันท์
อนึ่ง การสวมซิมเป็นเทคนิคที่ผู้แฮกใช้ควบคุมหมายเลขโทรศัพท์ของเหยื่อได้ โดยการปลอมเป็นเหยื่อแล้วขอให้ผู้ให้บริการโทรศัพท์ของเหยื่อโอนหมายเลขนั้น ๆ ไปยังซิมการ์ดใหม่
"เมื่อควบคุมหมายเลขโทรศัพท์ได้แล้ว บุคคลที่ไม่ได้รับอนุญาตนั้น ๆ จึงรีเซ็ตรหัสผ่านของบัญชี @SECGov" โฆษกของ SEC กล่าวในแถลงการณ์
SEC ระบุว่า หน่วยงานบังคับใช้กฎหมายกำลังพยายามหาข้อมูลว่าแฮกเกอร์ใช้วิธีใดในการโน้มน้าวผู้ให้บริการโทรศัพท์ของ SEC ให้ทำการโอนหมายเลขไปยังซิมใหม่
ทั้งนี้ SEC ไม่ได้ระบุชื่อผู้ให้บริการโทรศัพท์ในแถลงการณ์
ด้านสมาชิกสภาสหรัฐเรียกร้องคำอธิบายจาก SEC ว่า SEC ปล่อยให้ตัวเองโดนแฮกเช่นนี้ได้อย่างไร ทั้ง ๆ ที่ SEC เป็นผู้ออกข้อกำหนดด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดกับบริษัทจดทะเบียนในตลาดหลักทรัพย์
แถลงการณ์ในวันจันทร์ยังระบุว่า เนื่องจากปัญหาในการเข้าถึงบัญชี เจ้าหน้าที่ของ SEC จึงได้ขอให้ฝ่ายสนับสนุนของเอ็กซ์ให้ปิดใช้งาน MFA ในเดือนมิ.ย. 2566 ซึ่ง MFA เป็นฟังก์ชันเพิ่มการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
"ปัจจุบัน บัญชีโซเชียลมีเดียทั้งหมดของ SEC ที่รองรับ MFA ได้เปิดใช้งานฟังก์ชันดังกล่าวแล้ว" แถลงการณ์ระบุ
ด้านสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เปิดเผยกับทางรอยเตอร์ว่า หน่วยงานต่าง ๆ ของสหรัฐจะเป็นผู้กำหนดนโยบายการเข้าถึงบัญชีโซเชียลมีเดียของตนเอง แต่แนวทางจาก NIST โดยทั่วไปสนับสนุนการใช้ MFA