A Comissão de Valores Mobiliários dos EUA disse na segunda-feira que sua conta oficial no X (antigo Twitter) foi comprometida no início deste mês e que um ataque de troca de SIM foi o culpado, informou a CNBC.

Em 9 de janeiro, uma parte não autorizada obteve acesso à conta @SECGov e exibiu uma postagem falsa alegando que a agência havia aprovado o primeiro fundo negociado em bolsa de Bitcoin à vista. Os mercados de criptomoedas mudaram após a postagem não autorizada, com os preços do Bitcoin subindo inicialmente para quase US$ 48.000. Posteriormente, o preço do Bitcoin caiu abaixo de US$ 46.000 depois que a SEC esclareceu que não havia aprovado um ETF Bitcoin.

“Dois dias após o incidente, e em consulta com as operadoras de telecomunicações da SEC, a SEC determinou que durante um aparente ataque de ‘troca de SIM’, uma parte não autorizada obteve o controle do número de telefone celular da SEC associado à conta”, disse um porta-voz da SEC em um comunicado.

A troca de SIM ocorre quando um número de telefone é transferido para outro dispositivo sem a permissão do proprietário, permitindo que malfeitores recebam mensagens de texto e chamadas de voz destinadas à vítima.

Depois que o desconhecido obteve o número do telefone, ele redefiniu a senha da conta. Como a SEC não habilitou a autenticação de dois fatores, a troca do cartão SIM e a subsequente alteração da senha são as únicas duas etapas necessárias para acessar totalmente a conta da agência.

“Embora a conta @SECGovX tivesse anteriormente a autenticação multifator (MFA) habilitada, o X Support desativou o recurso a pedido da equipe em julho de 2023 devido a problemas de acesso à conta”, disse a SEC em um comunicado. “Depois que o acesso foi restabelecido, o MFA permaneceu desativado até que a equipe o reativasse em 9 de janeiro, após a conta ter sido comprometida.”

Atualmente, todas as contas de mídia social da SEC que oferecem funcionalidade MFA a possuem habilitada. A instituição tem a capacidade de ativar a autenticação de dois fatores para sua conta X e não depende de X para fazer isso.

Elon Musk, proprietário e diretor de tecnologia do X, zombou da Comissão de Valores Mobiliários dos EUA (SEC) depois que sua conta no X foi comprometida. Musk também retuitou uma postagem do departamento de segurança do Twitter após o incidente, dizendo que o vazamento “não foi devido ao comprometimento do Sistema X”.

X não respondeu imediatamente às perguntas da CNBC sobre se a plataforma continua a cooperar com os investigadores ou se a empresa planeja alterar o design ou qualquer funcionalidade relacionada às contas de agências governamentais em resposta à violação da conta SEC.

A SEC disse que não há evidências de que uma parte não autorizada tenha acessado os sistemas, dados, equipamentos ou outras contas de mídia social da SEC. Em vez disso, disse a agência, “o número de telefone foi acessado através de uma operadora de telecomunicações”, e as autoridades ainda estão investigando como a pessoa “fez com que a operadora mudasse o cartão SIM da conta e como a pessoa sabia qual número de telefone estava associado à conta”.

A SEC disse que continua a cooperar com várias entidades de aplicação da lei e de supervisão federal, incluindo o Escritório do Inspetor Geral da SEC, o FBI, a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna, a Commodity Futures Trading Commission, o Departamento de Justiça e a própria divisão de fiscalização da SEC.