SIM değiştirme saldırısı gerçekleşti
SEC, hackerların “SIM swapping attack” formülüyle hesapla ilişkilendirilen SEC telefon numarasının denetimini ele geçirdiklerini söyledi. SIM değiştirme, SIM takas dolandırıcılığı ya da SIM ele geçirme olarak isimlendirilen bu taarruz, makûs niyetli bir kişinin toplumsal mühendislik üzere teknikler yoluyla kurbanın telefon numarasını ele geçirmesiyle meydana geliyor. Saldırgan, daha sonra kurbanın hesaplarında giriş yapmak için kullanabileceği iki faktörlü kimlik doğrulama kodları dahil kurbana yönelik arama ve iletileri engellemesine imkan tanıyor.
İki adımlı kimlik doğrulama açık değil miydi?
SEC skandalında makus niyetli kişi, X hesabına bağlı telefon numarasının denetimini ele geçirdikten sonra hesabın şifresini sıfırladı. SEC, çok faktörlü kimlik doğrulamanın açık olduğunu söylese de, bu güvenlik özelliği hesaba erişim sıkıntıları nedeniyle Temmuz 2023’te bir çalışanın talebi üzerine X takviyesi tarafından devre dışı bırakılmış. SEC, 9 Ocak’ta hesabın ele geçirildiğini fark ettikten sonra bu özelliği yine aktifleştirmiş. SEC’in kurumsal hesaba bağlı telefon numarası nasıl öğrenildi ve hackerlar operatörün SIM’leri değiştirmesini nasıl sağladı bahisleri hâlâ araştırılıyor.