背景／Umberto on Unsplash

美國證券交易委員會（SEC）在今年1月10日宣布，正式批准包括比特幣（Bitcoin）現貨ETF在內的交易所交易產品（ETP）的上市與交易，然而，此一消息提前在1月9日透過SEC的X官方帳號@SECGov曝光，SEC周一（1/22）公布此一意外事件的調查結果，指出駭客透過SIM卡置換攻擊存取了@SECGov帳號，逕自發布相關資訊。

SEC的X帳號@SECGov在1月9日發布了批准比特幣現貨ETF的消息，15分鐘後SEC即宣稱該帳號遭到盜用，且該消息並非由SEC所起草、建立或發布，使得比特幣的價格在短短的時間之內先上飆至48,000美元，再下滑至45,000美元。當時，市場亦不知其實SEC隔天便會正式宣布此事。

總之，此一意外讓SEC、SEC監察長辦公室及美國聯邦調查局（FBI）聯手展開調查，在諮詢SEC的電信營運商之後，確定駭客是透過SIM卡置換攻擊，取得了與@SECGov相關的電話號碼控制權。SIM卡置換指的是在未經用戶授權，便將電話號碼轉至另一臺裝置的技術，允許未經授權的一方開始接收與該號碼相關的語音及簡訊。

駭客在控制了@SECGov帳號的電話號碼之後，重置了該帳號的密碼。目前執法部門仍在調查駭客如何讓電信營運商變更該帳號的SIM卡，也正企圖釐清駭客如何知道@SECGov帳號所連結的電話號碼。

然而，此一意外之所以會發生的另一個主要原因在於，攻擊當下@SECGov帳號並未啟用多因素身分驗證。

SEC說明，最初@SECGov帳號是啟用多因素身分驗證（MFA）機制的，但在2023年7月時，因要存取該帳號時發生問題，X技術支援部在SEC員工的要求下關閉了該帳號，SEC員工卻在重新建立帳號存取權之後，沒有重新啟用MFA，一直到日前遭到SIM卡置換攻擊。現在SEC已在所使用的所有社交媒體帳號上都啟用了MFA。

SEC也強調，該攻擊是透過電信營運商執行，而非SEC系統，且除了X上的@SECGov帳號之外，目前並未發現駭客存取SEC系統、資料、裝置或其他社交媒體帳號的證據。