SEC, hackerların “SIM swapping attack” yöntemiyle hesapla ilişkilendirilen SEC telefon numarasının kontrolünü ele geçirdiklerini söyledi. SIM değiştirme, SIM takas dolandırıcılığı ya da SIM ele geçirme olarak adlandırılan bu saldırı, kötü niyetli bir kişinin sosyal mühendislik gibi teknikler yoluyla kurbanın telefon numarasını ele geçirmesiyle meydana geliyor. Saldırgan, daha sonra kurbanın hesaplarında giriş yapmak için kullanabileceği iki faktörlü kimlik doğrulama kodları dahil kurbana yönelik arama ve mesajları engellemesine olanak tanıyor.
İki adımlı kimlik doğrulama açık değil miydi?
SEC skandalında kötü niyetli kişi, X hesabına bağlı telefon numarasının kontrolünü ele geçirdikten sonra hesabın şifresini sıfırladı. SEC, çok faktörlü kimlik doğrulamanın açık olduğunu söylese de, bu güvenlik özelliği hesaba erişim sorunları nedeniyle Temmuz 2023’te bir çalışanın talebi üzerine X desteği tarafından devre dışı bırakılmış. SEC, 9 Ocak’ta hesabın ele geçirildiğini fark ettikten sonra bu özelliği yeniden etkinleştirmiş. SEC’in kurumsal hesaba bağlı telefon numarası nasıl öğrenildi ve hackerlar operatörün SIM’leri değiştirmesini nasıl sağladı konuları hâlâ araştırılıyor.