L’incidente di sicurezza che ha coinvolto l’account principale di X, precedentemente noto come Twitter, ha scatenato un’ondata di preoccupazioni e domande riguardo alla robustezza delle misure di sicurezza delle istituzioni finanziarie e degli organismi di regolamentazione. La Securities and Exchange Commission (SEC) degli Stati Uniti è stata al centro dell’attenzione quando il team di sicurezza di X ha rivelato che l’account @SECGov è stato compromesso a causa dell’assenza di autenticazione a due fattori (2FA).
Secondo la dichiarazione del team di sicurezza di X, l’hacker è riuscito ad ottenere il controllo del numero di telefono associato all’account della SEC tramite una pratica nota come “SIM swap hack“. Questo tipo di attacco comporta il furto d’identità, in cui un aggressore convince un fornitore di telecomunicazioni terzo a cedere il controllo del numero di telefono della vittima. Nel caso della SEC, questa compromissione ha permesso all’hacker di accedere all’account ufficiale e diffondere una falsa notizia sull’approvazione di un exchange–traded fund (ETF) Bitcoin.
Post falso su X
La mancanza di autenticazione a due fattori sull’account principale della SEC ha sollevato interrogativi sulla sicurezza delle istituzioni finanziarie e degli organismi regolatori. Il team di sicurezza di X ha sottolineato che la compromissione non è stata causata da una violazione dei sistemi di X. Piuttosto, la colpa, è di un individuo non identificato che ha ottenuto il controllo del numero di telefono. Nonostante ciò, il dibattito sulla responsabilità e sulla sicurezza informatica è scoppiato.
La richiesta di trasparenza si è ampliata, con diversi membri del Congresso che chiedono un’indagine ufficiale sull’incidente. Il senatore Bill Hagerty ha paragonato la situazione a una società pubblica che dovrebbe rendere conto di un errore simile, sottolineando l’inaccettabilità dell’accaduto. Anche la senatrice Cynthia Lumiss ha chiesto trasparenza sugli “annunci fraudolenti“. I senatori J.D. Vance e Thom Tillis hanno inviato una lettera al presidente della SEC, Gary Gensler, esprimendo preoccupazioni sulla mancanza di sicurezza operativa dell’agenzia. La lettera sottolinea che tali incidenti minano la missione della SEC di proteggere gli investitori e richiede una spiegazione.
L’intervento di Elon Musk, proprietario di X e CEO di Tesla, ha aggiunto un tocco di sarcasmo alla situazione. Infatti, Musk anche se ha respinto l’ipotesi di una violazione interna dei sistemi di X, ha suggerito una password ironica per l’account SEC.