SEC帳號遭駭引發對X平台安全問題的再度關注
SEC account hack renews spotlight on X's security concerns
By Zeba Siddiqui and Raphael Satter
January 10, 2024 12:30 PM GMT+8
三藩市/華盛頓,1月9日(路透社)——美國證券交易委員會(SEC)官方帳號週二在X社交媒體平台上遭到黑客入侵,引發了人們對該平台安全性的新擔憂,自從2022年被億萬富翁伊隆·馬斯克收購以來。
黑客在@SECGov上發布了關於比特幣的虛假消息,該消息是SEC預計將發布的一項廣受期待的公告,導致比特幣價格飆升,並引起了觀察者的警惕。虛假的帖子聲稱,證券監管機構已經批准了持有比特幣的交易所交易基金。SEC在該帖子出現後約30分鐘將其刪除。
X在週二晚些時候證實,經過初步調查,SEC的帳號被入侵是因為一個未知的個人通過第三方控制了與該帳號相關的電話號碼。
該社交媒體平台還在一篇帖子中表示,SEC在帳號被入侵時沒有啟用雙因素驗證。
雖然X表示,帳號被入侵不是因為該平台系統的漏洞,但安全分析師稱這起事件令人不安。
前聯邦調查局(FBI)紐約辦公室的網絡安全官員、安全公司BlueVoyant的高級主管奧斯汀·伯格拉斯(Austin Berglas)說:“這樣的事情,你可以接管SEC的帳號,並可能影響市場上比特幣的價值——這是一個巨大的散佈虛假信息的機會。”
X社交媒體平台,原名為推特(Twitter),其帳號可能因為密碼被竊或目標被騙取登入憑證而遭到劫持,就像其他任何社交媒體平台一樣。帳號也可能因為X的安全被破壞而被接管,就像2020年發生的那樣,當時一名少年策劃了一場闖入推特內部電腦網路的行動,並奪取了數十個知名帳號的控制權,包括前總統歐巴馬和馬斯克在內,這都是在馬斯克收購推特之前。
SEC的一位發言人週二表示,其帳號被“未知方”“未經授權地訪問”已經被撤銷,該機構正在與執法部門和政府其他部門合作調查此事。
安全問題
然而,即使在被馬斯克收購並改名為X之前,推特就一直面臨著持續的安全問題。
2019年,一名沙特特工被逮捕,他曾秘密地搜尋該網站的後端,以獲取有關王國異見者的個人信息,這引發了人們對推特內部保護措施的擔憂。
次年,佛羅里達的少年大規模劫持了頂級帳號,使人們的擔憂加劇,紐約州金融服務部(Department of Financial Services)斥責該公司成為了一場“簡單”的黑客攻擊的受害者。2022年,推特的前安全負責人皮特·扎特科(Peiter Zatko)在被馬斯克收購之前公開反對該公司,指責其有一連串的安全失敗,他說這些失敗危及了國家安全。
自從2022年10月收購推特以來,馬斯克一直吹捧該公司的安全性,但前員工說,從那時起,情況變得更糟。根據上個月由X的前IT安全負責人艾倫·羅莎(Alan Rosa)提起的訴訟,馬斯克在收購這個社交媒體平台後,下令將X的實體安全預算削減50%,並想要取消旨在幫助該公司發現和修復數位漏洞的計畫。羅莎指控他在反對這些措施時被解雇。
一位不願透露姓名的前推特高管說,在馬斯克收購之前,該公司的重點是保護政府官員等知名帳號,並包括對可疑的黑客攻擊發出警報和採取快速應對措施,但從事這項工作的員工是“選舉誠信”團隊的一部分,該團隊在去年遭到裁員。
去年初,X限制了非付費用戶實施雙因素驗證的能力,這是一項關鍵的安全措施。X的網站稱,該公司“積極地”保護和確保政府官員和政治候選人的帳號,這些帳號“在某些公民程序中可能特別容易受到攻擊”。
目前還不清楚SEC的網站是否有這樣的安全措施。伯格拉斯說,如果沒有,黑客可能使用一個舊的洩露的密碼接管該帳號。
他補充說:“每當你在一個像X這樣的平台上減少安全功能時,這都是非常令人擔憂的。”
由席拉·丹恩(Sheila Dang)和喬蒂·納拉揚(Jyoti Narayan)補充報導;由萊斯利·阿德勒(Leslie Adler)和克里斯蒂安·施莫林格(Christian Schmollinger)編輯。