Комиссия по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) подтвердила факт взлома своего аккаунта в социальной сети X*. Произошедшее ранее в январе нарушение безопасности было осуществлено через атаку типа SIM Swapping (подмена SIM-карты), при этом аккаунт не был защищён многофакторной аутентификацией (multi-factor authentication, MFA).
Внутреннее расследование показало, что несанкционированный доступ к номеру телефона, привязанному к аккаунту SEC, был получен через оператора связи агентства методом подмены SIM-карты (SIM Swapping). Атака предполагает получение контроля над номером сотового телефона путем убеждения оператора мобильной связи перенести номер на SIM-карту, контролируемую злоумышленником. Как только злоумышленник получит контроль над номером телефона жертвы, он сможет использовать этот номер телефона для сброса паролей учетных записей, принадлежащих жертве.
После получения контроля над номером, привязанному к аккаунту SEC, злоумышленник сбросил пароль SEC в сети
В X пользователи публикуют общедоступные сообщения и общаются с другими пользователями. X имеет большую аудиторию во всем мире и входит в топ-10 самых посещаемых сайтов.
X запрещён на территории Российской Федерации за неоднократное нарушение законодательства.