針對 X 帳號日前遭入侵、被用於散播比特幣現貨 ETF 獲准的假消息一事,美國證管會(SEC)週末發布了一份聲明,交代事件始末和最新進展,表示 SEC「仍在評估這起事故對該機關、投資人和市場的影響」,但對於該帳號未使用多因素驗證一事,則是隻字未提。
SEC 的聲明還原了事發經過的時間點,稱第一則「未經授權的貼文」於美東時間 1 月 9 日下午 4:11 發布,而 SEC 主席 Gary Gensler 則是在 15 分鐘後發表了澄清貼文。聲明暗示,SEC 工作人員從未失去對該帳戶的訪問權限,並表示他們在事發後已第一時間刪除了虛假貼文、退讚了一些由入侵者按讚與比特幣相關的推文,並在 30 分鐘內分享了 SEC 官方帳號的最新情況。
工作人員也向 X 官方尋求幫助,以終止對 SEC 帳號未經授權的訪問。根據目前掌握的資訊,工作人員認為對該帳號未經授權的訪問是在美東時間下午 4:40 至下午 5:30 之間終止的。
SEC 主席 Gary Gensler 在聲明中指出,「入侵者是經由控制與 SEC X 帳號相關的電話號碼來取得帳號的訪問權限」,明顯是遭到了 SIM 卡劫持攻擊,照理說使用多因素身份驗證應能起到防護罩的作用,而根據 X 官方安全團隊的說法,SEC 的帳號在事發當下並未啟用雙重驗證(2FA),但 Gary Gensler 在聲明中並未提及此事。
令人覺得諷刺的是,Gary Gensler 去年 10 月就曾發文敦促投資人要透過 2FA 保護自身的財務帳戶,而且建議使用高強度的密碼,結果卻未能保護自身的 X 帳號免於受駭客攻擊。
美國 SEC 發言人上周表示,聯邦調查局(SEC)正在調查這起事故,但最新聲明則補充說,國土安全部的網路安全和基礎設施安全局(CISA)也已介入調查。
Gary Gensler 在聲明中寫道,「SEC 工作人員仍在評估這一事件對該機關、投資人和市場的影響,目前已意識到這些影響包括外界對 SEC 社群帳號安全的擔憂。」
針對這起事故,美國兩位參議員 JD Vance 和 Thom Tillis 上周已致函給 Gary Gensler,對這次駭客攻擊表示關切和擔憂,並要求 SEC 在 1 月 15 日之前向國會提交關於此事件的說明報告。