ก.ล.ต.สหรัฐ แจง กรณีถูกแฮก X เป็นเพราะ 'โดนสวมซิม' 6 เดือนหลังปิดยืนยันตัวตน
“ก.ล.ต.สหรัฐ” แจงกรณีโดนแฮกบัญชี X เป็นฝีมืออาชญากรไซเบอร์ “สวมซิม” และเกิดขึ้น 6 เดือนหลังเจ้าหน้าที่ปิดระบบยืนยันตัวตนหลายปัจจัย (MFA) ใน X
คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐ (SEC) หรือ ก.ล.ต.สหรัฐ แถลงเมื่อวันจันทร์ (22 ม.ค.) ตามเวลาสหรัฐว่า บัญชีเอ็กซ์ (ทวิตเตอร์) ของ SEC ที่ถูกแฮกเมื่อวันที่ 9 ม.ค.นั้น ถูกแฮกด้วยการ “สวมซิม” (SIM swapping) ซึ่งเป็นเทคนิคที่อาชญากรไซเบอร์ใช้ในการควบคุมหมายเลขโทรศัพท์
SEC ยังระบุว่า ก่อนเกิดเหตุ 6 เดือน ทางเจ้าหน้าที่ของ SEC ได้ปิดระบบการยืนยันตัวตนแบบหลายปัจจัย (MFA) และไม่ได้เปิดใช้ใหม่อีกจนกระทั่งหลังจากโดนแฮกเมื่อวันที่ 9 ม.ค.
สำนักข่าวรอยเตอร์รายงานว่า เมื่อวันที่ 9 ม.ค. มีผู้ไม่ประสงค์ดีเข้าถึงบัญชีเอ็กซ์ของ SEC แล้วโพสต์ข้อความอันเป็นเท็จว่า SEC มีมติอนุมัติการจัดตั้งกองทุน Spot Bitcoin ETF แล้ว ส่งผลให้ราคาบิตคอยน์พุ่งทะยานขึ้นชั่วขณะ
ในวันต่อมา SEC มีมติอนุมัติการจัดตั้งกองทุน Spot Bitcoin ETF ด้วยคะแนนเสียงแบบไม่เป็นเอกฉันท์
การสวมซิมเป็นเทคนิคที่ผู้แฮกใช้ควบคุมหมายเลขโทรศัพท์ของเหยื่อได้ โดยการปลอมเป็นเหยื่อแล้วขอให้ผู้ให้บริการโทรศัพท์ของเหยื่อโอนหมายเลขนั้น ๆ ไปยังซิมการ์ดใหม่
“เมื่อควบคุมหมายเลขโทรศัพท์ได้แล้ว บุคคลที่ไม่ได้รับอนุญาตนั้น ๆ จึงรีเซ็ตรหัสผ่านของบัญชี @SECGov” โฆษกของ SEC ระบุในแถลงการณ์
SEC ระบุว่า หน่วยงานบังคับใช้กฎหมายกำลังพยายามหาข้อมูลว่าแฮกเกอร์ใช้วิธีใดในการโน้มน้าวผู้ให้บริการโทรศัพท์ของ SEC ให้ทำการโอนหมายเลขไปยังซิมใหม่
อย่างไรก็ตาม SEC ไม่ได้ระบุชื่อผู้ให้บริการโทรศัพท์ในแถลงการณ์
ขณะที่สมาชิกสภาสหรัฐเรียกร้องคำอธิบายจาก SEC ว่า ปล่อยให้ตัวเองโดนแฮกเช่นนี้ได้อย่างไร ทั้ง ๆ ที่ SEC เป็นผู้ออกข้อกำหนดด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดกับบริษัทจดทะเบียนในตลาดหลักทรัพย์
แถลงการณ์ในวันจันทร์ยังระบุว่า เนื่องจากปัญหาในการเข้าถึงบัญชี เจ้าหน้าที่ของ SEC จึงได้ขอให้ฝ่ายสนับสนุนของเอ็กซ์ให้ปิดใช้งาน MFA ในเดือน มิ.ย. 2566 ซึ่ง MFA เป็นฟังก์ชันเพิ่มการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
“ปัจจุบัน บัญชีโซเชียลมีเดียทั้งหมดของ SEC ที่รองรับ MFA ได้เปิดใช้งานฟังก์ชันดังกล่าวแล้ว” แถลงการณ์ระบุ
ด้านสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เปิดเผยกับรอยเตอร์ว่า หน่วยงานต่าง ๆ ของสหรัฐจะเป็นผู้กำหนดนโยบายการเข้าถึงบัญชีโซเชียลมีเดียของตนเอง แต่แนวทางจาก NIST โดยทั่วไปสนับสนุนการใช้ MFA
อ้างอิง: Reuters