Menkul Kıymetler ve Borsa Komisyonu’nun eski adı Twitter olarak bilinen X hesabının 9 Ocak’ta uzlaşmasının ardından iki Senatör, hacklemeyi “bağışlanamaz” olarak nitelendiren ve ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) Genel Müfettişini bu olayı soruşturmaya çağıran bir bildiri yayınladı. düzenleyicinin temel çok faktörlü kimlik doğrulama (MFA) korumalarına sahip olmaması.
Senatörler Ron Wyden, D-Ore. ve Cynthia Lummis, “Ayrıca, yatırımcılar için maddi bilgilerin yayınlanmasıyla sonuçlanan bir hackleme, potansiyel piyasa manipülasyonu da dahil olmak üzere finansal sistemin istikrarı ve kamu piyasalarına olan güven üzerinde önemli etkilere sahip olabilir.” R-Wyo. bir açıklamada söyledi. “Ele alınması gereken kalan güvenlik açıklarını belirlemek için ajansın MFA kullanımına ve özellikle de kimlik avına karşı dayanıklı MFA’ya ilişkin uygulamalarını araştırmanızı tavsiye ediyoruz.”
Senatörler SEC Siber Güvenlik Uygulamalarını Sorguluyor
Mart 2020’den bu yana Twitter’ın politikası, premium abonelere yalnızca metin tabanlı iki faktörlü kimlik doğrulama sunacak şekilde değiştirildi. Diğer kuruluşlar dahil Google’ın siber güvenlik ekibi Mandiant birlikte otomobil şirketi Hyundai Twitter’ın yeni politikasının farkında olan kripto korsanlarının tuzağına düştüler.
Senatör Wyden’in ofisi Dark Reading’e, X politikası Mart 2023’te değiştikten sonra SEC’in üçüncü taraf kimlik doğrulama uygulaması veya güvenlik anahtarı gibi alternatif bir MFA sürecini neden uygulamadığı konusundaki spesifik endişeyi anlattı.
SEC X hesabının ihlali durumunda, hesapla ilişkili bir telefon numarası kripto bilgisayar korsanları tarafından ele geçirildi ve bitcoin piyasasını manipüle etmek için yanlış iletişimleri ortaya çıkarmak için kullanıldı.
“Ajans sadece MFA’yı etkinleştirmekle kalmamalı, aynı zamanda hesaplarını, hesap siber güvenliği için altın standart olan, genellikle güvenlik anahtarları olarak bilinen, kimlik avına karşı dayanıklı donanım belirteçleriyle güvence altına almalıydı.” SEC Genel Müfettişine mektup dedi ve ajansın 2023 yılında “zayıf siber güvenlik” konusunda uyarıldığını da sözlerine ekledi.
Mektup, düzenleyici kurumun kurumsal siber güvenlik konusunda giderek daha sıkı hale gelen gözetimine bir darbe daha ekledi.
“SEC’in siber güvenlik konusunda en iyi uygulamaları takip etmedeki başarısızlığı affedilemez, özellikle de kurumun Siber güvenliğin açıklanması için yeni gereksinimler“Senatörler yazdı.