Hack účtu SEC znovu upozorňuje na bezpečnostní problémy společnosti X

Úterní hackerský útok na oficiální účet americké Komise pro cenné papíry a burzy na platformě X obnovil obavy o bezpečnost této sociální sítě od jejího převzetí miliardářem Elonem Muskem v roce 2022.

Hackeři zveřejnili falešnou zprávu o široce očekávaném oznámení, které měla SEC učinit ohledně bitcoinu, což vedlo k nárůstu ceny kryptoměny a znepokojení pozorovatelů. Falešný příspěvek na @SECGov uváděl, že regulátor cenných papírů schválil burzovně obchodované fondy, které budou držet bitcoin. SEC příspěvek smazala asi 30 minut poté, co se objevil.

X později v úterý po předběžném vyšetřování potvrdil, že účet SEC byl kompromitován, protože neznámá osoba získala prostřednictvím třetí strany kontrolu nad telefonním číslem spojeným s účtem.

Platforma sociálních médií ve svém příspěvku rovněž uvedla, že SEC neměla v době kompromitace účtu zapnuté dvoufaktorové ověřování.

Ačkoli společnost X uvedla, že ke kompromitaci nedošlo v důsledku narušení systémů platformy, bezpečnostní analytici označili tento incident za znepokojivý.

„Něco takového, kdy můžete převzít účet SEC a potenciálně ovlivnit hodnotu bitcoinu na trhu – to je obrovská příležitost pro dezinformace,“ řekl Austin Berglas, bývalý pracovník kybernetické bezpečnosti v newyorské pobočce FBI a vedoucí pracovník bezpečnostní firmy BlueVoyant.

Účty na platformě X, dříve známé jako Twitter, lze převzít krádeží hesla nebo podvodem přimět cíle, aby prozradily své přihlašovací údaje, stejně jako na jakékoli jiné platformě sociálních médií. Účty lze také převzít prolomením zabezpečení X, jako se to stalo v roce 2020, kdy teenager zvládl průnik do interní počítačové sítě Twitteru a převzal kontrolu nad desítkami vysoce postavených účtů, včetně účtů bývalého prezidenta Baracka Obamy a Muska, dávno předtím, než Twitter koupil.

Mluvčí SEC v úterý uvedl, že „neoprávněný přístup“ k jeho účtu „neznámou stranou“ byl zrušen a agentura spolupracuje s orgány činnými v trestním řízení a dalšími vládními institucemi na vyšetřování této záležitosti.

Bezpečnostní problémy

Ještě předtím, než Twitter koupil Musk a změnil jeho název na X, byl však Twitter předmětem přetrvávajících bezpečnostních problémů.

Zatčení saúdského agenta, který v roce 2019 tajně pročesával backend stránky a hledal osobní informace o disidentech v království, vyvolalo obavy ohledně interních bezpečnostních opatření Twitteru.

Hromadný únos nejlepších účtů v následujícím roce floridským teenagerem obavy ještě zvýšil a newyorské ministerstvo financí firmu pokáralo za to, že se stala obětí „jednoduchého“ hackerského útoku. V roce 2022 se bývalý šéf bezpečnosti Twitteru Peiter Zatko veřejně obrátil proti společnosti, ještě než ji koupil Musk, a obvinil ji z řady bezpečnostních nedostatků, které podle něj ohrožovaly národní bezpečnost.

Musk od koupě Twitteru v říjnu 2022 bezpečnost společnosti vychvaloval, ale podle bývalých zaměstnanců se od té doby zhoršila. Musk po koupi platformy sociálních médií nařídil snížit rozpočet na fyzickou bezpečnost společnosti X o 50% a chtěl zrušit programy, jejichž cílem bylo pomoci najít a opravit digitální zranitelnosti, uvádí se v žalobě, kterou minulý měsíc podal Alan Rosa, bývalý šéf IT bezpečnosti ve společnosti X. Rosa tvrdí, že byl propuštěn, když se proti těmto opatřením ohradil.

Bývalý manažer společnosti Twitter, který si nepřál být jmenován, uvedl, že ochrana prominentních účtů, jako jsou účty vládních představitelů, tam byla před Muskovou akvizicí hlavním cílem a zahrnovala upozornění na podezření z hackerského útoku s opatřeními rychlé reakce, ale zaměstnanci, kteří na tomto úsilí pracovali, byli součástí týmu „integrity voleb“, který loni postihlo propouštění.

Začátkem loňského roku společnost X omezila možnost neplatících uživatelů implementovat dvoufaktorové ověřování, což je klíčové bezpečnostní opatření. Na webových stránkách společnosti X se uvádí, že firma „aktivně“ chrání a zabezpečuje účty vládních úředníků a politických kandidátů, které „mohou být během určitých občanských procesů obzvláště zranitelné“.

Bez takového zabezpečení se mohli hackeři zmocnit účtu různými metodami, včetně použití starého uniklého hesla nebo získání přístupu k telefonnímu číslu propojenému s účtem pomocí techniky známé jako SIM swapping, uvedl Berglas.

„Kdykoli dochází k omezení bezpečnostní funkce v platformě, která dělá to, co dělá X, je to neuvěřitelně znepokojující,“ dodal.

Zdroj: Reuters

Chcete začít obchodovat a nevíte jak na to? Zanechte nám na sebe kontakt a my Vám rádi a nezávazně poradíme.

    Facebook
    Twitter
    LinkedIn