Die US-Börsenaufsichtsbehörde (Securities and Exchange Commission) teilte am Montag mit, dass ihr offizielles Konto auf

Am 9. Januar verschaffte sich ein Unbefugter Zugriff auf das @SECGov-Konto und zeigte einen falschen Beitrag an, in dem behauptet wurde, die Agentur habe den allerersten börsengehandelten Spot-Bitcoin-Fonds genehmigt. Die Kryptowährungsmärkte veränderten sich nach dem nicht autorisierten Beitrag, wobei die Bitcoin-Preise zunächst auf fast 48.000 US-Dollar stiegen. Anschließend fiel der Bitcoin-Preis unter 46.000 US-Dollar, nachdem die SEC klarstellte, dass sie keinen Bitcoin-ETF genehmigt hatte.

„Zwei Tage nach dem Vorfall und in Absprache mit den Telekommunikationsanbietern der SEC stellte die SEC fest, dass während eines offensichtlichen „SIM-Swap“-Angriffs eine nicht autorisierte Partei die Kontrolle über die mit dem Konto verknüpfte SEC-Mobiltelefonnummer erlangte“, sagte ein SEC-Sprecher in einer Erklärung.

Beim SIM-Tausch wird eine Telefonnummer ohne die Erlaubnis des Besitzers auf ein anderes Gerät übertragen, sodass Kriminelle Textnachrichten und Sprachanrufe erhalten können, die für das Opfer bestimmt sind.

Nachdem der Unbekannte die Telefonnummer erhalten hatte, setzte er das Kontopasswort zurück. Da die SEC keine Zwei-Faktor-Authentifizierung aktiviert hat, sind der SIM-Kartentausch und die anschließende Passwortänderung die einzigen beiden notwendigen Schritte, um vollständig auf das Konto der Behörde zuzugreifen.

„Während für das @SECGovX-Konto zuvor die Multi-Faktor-Authentifizierung (MFA) aktiviert war, hat der X-Support die Funktion auf Anfrage der Mitarbeiter im Juli 2023 aufgrund von Problemen beim Zugriff auf das Konto deaktiviert“, sagte die SEC in einer Erklärung. „Sobald der Zugriff wiederhergestellt war, blieb MFA deaktiviert, bis Mitarbeiter es am 9. Januar wieder aktivierten, nachdem das Konto kompromittiert worden war.“

Derzeit ist diese Funktion bei allen SEC-Social-Media-Konten aktiviert, die die MFA-Funktionalität bieten. Die Institution hat die Möglichkeit, die Zwei-Faktor-Authentifizierung für ihr X-Konto wieder zu aktivieren und ist dabei nicht auf X angewiesen.

Elon Musk, Eigentümer und Chief Technology Officer von Musk hat nach dem Vorfall auch einen Beitrag der Sicherheitsabteilung von Twitter retweetet und erklärt, dass das Leck „nicht auf die Kompromittierung von System X zurückzuführen“ sei.

X antwortete nicht sofort auf Fragen von CNBC, ob die Plattform weiterhin mit Ermittlern kooperiert oder ob das Unternehmen plant, als Reaktion auf den SEC-Kontoverstoß das Design oder irgendwelche Funktionen im Zusammenhang mit Regierungskonten zu ändern.

Die SEC sagte, es gebe keine Beweise dafür, dass eine unbefugte Partei auf die Systeme, Daten, Geräte oder andere Social-Media-Konten der SEC zugegriffen habe. Stattdessen, so die Behörde, „wurde über einen Telekommunikationsanbieter auf die Telefonnummer zugegriffen“, und die Strafverfolgungsbehörden untersuchen immer noch, wie die Person „den Anbieter dazu gebracht hat, die SIM-Karte des Kontos zu ändern, und woher die Person wusste, welche Telefonnummer mit dem Konto verknüpft war“.

Die SEC sagte, sie kooperiere weiterhin mit mehreren Strafverfolgungs- und Bundesaufsichtsbehörden, darunter dem Büro des Generalinspektors der SEC, dem FBI, der Cybersecurity and Infrastructure Security Agency des Department of Homeland Security, der Commodity Futures Trading Commission, dem Justizministerium und der eigenen Durchsetzungsabteilung der SEC.